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(57) Die Erfindung betrifft ein Verfahren zur Absi- 
cherung von Daten und Programmcode einer elektroni- 
schen Frankiermaschine gegen Manipulation mit einem 
Mikroprozessor in einer Steuereinheit der Frankierma- 
schine zur Ausfuhrung von Schritten fur eine Start- und 
Inltialisierungsroutine und nachfofgender Systemrou- 
tine mit einer Mdglichkeit in einen Kommunikationsmo- 
dus mit einer entfernten Datenzentrale einzutreten 
sowie weiteren Eingabeschritten, urn in einen Frankier- 
modus einzutreten von dem nach Ausfuhrung einer 
Abrechnungs- und Druckroutlne in die Systemroutine 
zuruckverzweigt wird, umfassend 

a) eine StartsicherheitSLiberprufung (1020) im Rah- 
men einer Start- und Initialisierungsroutine (101) 
vor einer sicheren Druckdatenaufruf routine (1040) 
und der nachfolgenden Systemroutine (200) zur 
Feststellung der Gultigkeit eines Programm-Codes 
und/oder von Daten im vorbestimmten Speicher- 
platz und eines zugeh6rlgen MAC (MESSAGE 
AUTHENTIFICATION CODE), welche im seiben 
Speichermittel gespeichert vorliegen. wobei die 
Uberprufung auf gultigen Programm-Code 
und/oder auf Gultigkeit der Daten mittels eines aus- 
gewahlten Prufsummenverfahrens innerhalb eines 
OTP-Prozessors (ONE TIME PROGRAMMABLE) 
durchgefijhrt wird, der intern die entsprechenden 
Programmteile enthait und 

b) eine Uberfuhrung der Frankiermaschine in die 
vorgenannte Systemroutine (200) bei Gultigkeit der 
Daten Oder Uberfuhrung der Frankiermaschine in 
einen ersten Modus, wenn die Daten ungultig sind 
bzw. ein spezlfisches Manipulatlonskriterium erfullt 
ist, durch Schritte zum Verhindern des Frankierens 
bzw. Sperrens der Frankiermaschine (1030) 



und/oder Schritte zum Verhindern einer weiteren 
Programmausfuhrung bzw. einer vom OTP-Prozes- 
sor nach extern fuhrenden Programmverzweigung 
im Rahmen vorgenannter Systemroutine (200). 



Stan- und tniti^iierungsroutine 101 
|h«tdw«e & disptey trtft-Romkien Q 1 Q 



I timer ^intemipi atart 



1— 
1030 



■H OTP-typ-Pmfung Li 023 

iai»chee-£PROM atngeateclct ?[ .1024 
MAC-Pruffuna fur EPROM tm cKt. Sockel fRgTi} ^ 1025 
"IrsIt)] — 1026 



\ MAC-PrCfunp da* Progmmin-EPBOM 



MAC-PfOfung der PostregUtaf 



lRg.n)| -1027 



<- j MAC-Prtfung do EEPROB4 i02B 



^Pnkhxng tt. Uberetnstitnrnung d. N\nRAM/EEPROM- ■ ^ 
Oaten & ggf. abhlingige Korraktur 



Prvildaf^und Klischaefandverorbeitung. automatische Routina ^ i040 
fiir feate. Mmivaiiafale and vwioT'- " ■ • 



Srtaniroutine ISprimg in ein axttmes Program ) .'ZOO 



Hg. 4 



Primed by Rank Xerox (UK.) Business Services 
2.13.16^3 4 



BNSDOCID: <EP 0762338 A2_l_> 



EP0 762 338 A2 



Beschreibung 



Die Erfindung betrifft ein Verfahren f^;*^ 
won Daten und Programmcode einer elektronischen 

1 bzw. 13 angegebenen Art. D.eses Verfahren verbes 
sert die Sicherheit von Frankiermaschinen. 
" E ne Frankiermaschine e.zeugl in f «^ ^^9^^^^^^^^^ 
Aufdruck in einer mitder Post vere.nbarten Form 

h, .ndin Darallel zur oberen Kante des Postgutes begin 

T«f,PssteniDel und Stempelabdrucke fur WerbeWischee 
TnS Sndunasart im >Wahldruckstempel. Der Post- 
^Trt'd^s D^Sd- Sendungsart bilden hierbjc«e 
e^^Z.eu6 dem Poststuck einzugebenden vanab.en 

ktrrrrthandeltessicHmeisturn^^^^^^^^^^ 
ri*>r vorausbezahlte BefSrderungsgebuhr (Franko), aie 
e^'^jSra^Olibaren Guthabenregister entnommen 
!nd zum Frelmachen der Po^tsendung verwend^ w 
roegensatz dazu wird beim 
^„ Register in Abhangigkeit von ^en dem Po^^^^^^ 
vorgenommenen Frankierungen '«l'9''ch hochg«am 
und in regelmSBigen Abstanden. von e,nem Postm 

nr;.SS.stiedevorgenomn,ene^^^^^^^^^ 

abzurechnen und jede ^«^"'P"'«;°^*1'S',^^^^^^^ 
nichtabgerechneten Frankierung fuhrt. muB verhindert 

Bne bekannte Frankiermaschine ist mit minde- 
.tpnrinem Eingabemittel. einem Ausgabemrttel, 
?^pm SJLsgSe-Steuermodul. einer Programm-, 
IZ- SdSindere die Abrechnungsregister tra- 
geSL. Speichereinrichtung. einer Steuere.nr,ch^^^^^ 
Snd einem Druckermodui ausgerustet. Be. emem Druk 

JSai die Druckmechanik nicht fur unabgerechnete 
AbdruckemiBbrauchtv^erdentenn. -^^g^ma- 

S^^i zJm Seren von Postgut .^^^^^ 
Abdruck eines WerbeMischees I.efern. Das hat zur 
Xe daHur noch im engeschaiteten Z^jnd 
rtchtabgerechnetesgultigesFrankieren verhindert wer 

Bef einer aus der US 4 746 234 bekannten Fran- 
KierSS werden teste und variable Information^^^ 
Tn Speichermitteln (ROl^, RAM) gespeK^he^t urn d'^e 
dann w/enn ein Brief auf dem Transportpfad vor der 
D^^oSneinenMikroschaiterbetatigt^^^^^^^^^ 

Mikroprozejo^auszu..^^^^^^^^ 

rm^uSdzraL%ng.^tundK^^^^^^^^^^^^^^ 
Thermotransferdruckmitlel auf einen zu frankierenden 
BriefumschlagausgedrucWwerdea 

Es wurde auch bereits em Verfahren z"-" Stejje^^^ 
desSanenweisen Druckens eines ^o^^^f^^^^^^^ 
des in einer Frankiermaschine vorgeschlagen EP 57B 



042 A2. welches getrennt ^'on«*"^'^«'■ «^ J^jSn 
Pixelbilddaten umgeseUte teste und vanable Daten 
end des spaltenweisen Druckens zusammensetzt. 
S^Le daher schv^ierig, ohne groBen und teuren Auf- 
SnTeine Manipulation am Drucksteuersignal vorzu^ 
' TZ^r^. wenn das Drucken mit einer hohen 
Geschwindigkeit erfolgt. 

In Qblicher Weise umlaSt die Speichereinnchtung 
minJes^ns ^nernichtflQchtigen Speiche*^^^^^^ 
,0 d^awuen verbliebene Restguthaben enth&lt welch^ 
Saus ^esuffiert, daB von einem fruher in die Frank,^- 
Si^e geladenen Guthaben der iewa.ige zu dru^ 
kTnden Portowert abgezogen wird. D^e 
RaTermaschine Wod^ert. wenn das Restguthaben 

" """Skannte Frankiermaschinen enthalten in minde- 
stens ?nem Speicher drei relevante PostreQ.ster fur 
?iSauSiten Summenwert (steigendes Register) noch 
^-nhares Restguthaben (fallendes Register) und 
R^^ster S ei" Ltrollsumme. Die Kon,rol.summe 
" S mH der Summe aus verbrauchten Summenwe. 
„nd aus verfugbaren Guthaben verglichen. Bereits 
d^mit'st Oberprufung auf r^htige Abrechnung 

"^Werterhin ist es auch mCglich von einer Datenzen- 
traleX eine Fernwertvorgabe eine Wederaufladein^ 
f^r^iion zur die Frankiermaschine zu ubertragen um 
^^rSeaister fOr das Restguthaben (Restwert) e^n 

^oeicherte Guthaben nicht in unbefugter Art und 
W?se au gestockl werden kann. Die vorgenannten 
Tiungen gegen MiBbrauch und Faischungsversuc^e 
35 z?Sen.'erfordert einen zusatzlichen matenellen 

r ru?rS? 50S bekan. daB eine ^m- 
munikation zur entfernten Datenzentra^e vo der Fra^ 
Kiermaschine aufgenommen wird. J' sSwdl- 
40 Guthabens im fallenden Register unter einem Schwell 
Jiv,^ .ind eine vorbestimmte Zeit eneicht ist. 
""^ItiTngeirmem Patent ist weHerhin be^^ 
daB dSoater^entrale zum Emplang von Reg.sle«laten 
2S zur Kontrolle. ob die Frankiermaschine noch an 
« e^e bestimmte Telefonnummer angeschlossen -^*e 
Vertjindung mit der Frankiermaschine nach e.ner defi 
nSen ZeHdauer aufnimmt und die Fran.«ermasch,ne 
nurzuvorbestimmtenZeitenantwortet. 

ES ist nach obengenanntem Patent ^uBerdem ^or 
so gesehen. vor einer Guthabennachladung .nje Fra.^ 
Lmaschine. zur Autoris.erung dur* ^.e 
Datenzentrale die Identitatsnummer der Frankierma 
SIS,e und die Werte im fallenden und steigenden Regi- 

^"SerSausobengenanntemPatenttjkan^^^ 
daB die Kommunikation der Datenzentrale mit der Fran 
i5.^s^hine nicht auf bloBe ^ut^jabenu^^^^^^^^^ 
die Frankiermaschine beschrankt bleiben braudM^Viei 
mehr wird im Falle einer Abmeldung der Frankierma 
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schine die Kommunikation der Datenzentrale mit der 
Frankiermaschine zur Ubertragung des Restguthabens 
der Frankiermaschine in die Datenzentrale genutzt Der 
Wert imfallenden Postregister der Frankiermaschine 1st 
dann Null, was die Frankiermaschine wirksam auBer 5 
Betrieb setzt. 

Ein Sicherheitsgehause fCir Frankiermaschinen, 
welches innere Sensoren aufweist, ist aus der DE 41 29 
302 A1 bekannt. Die Sensoren sind insbesondere mit 
einer Batterie verbundene Schalter, welche beim Off- 10 
nen des Sicherheitsgehduses aktiv warden, urn einen 
das Restwertguthaben speichernden Speicher (fallen- 
des Postregister) durch Unterbrechen der Energiezu- 
fuhr zu IGschen. Es ist bekanntlich aber nicht 
vorhersagbar, welchen Zustand ein spannungsloser 15 
Speicherbaustein beim Wiederkehr der Spannung ein- 
nimmt. Somit kdnnte auch ein nicht bezahltes hdheres 
Restguthaben entstehen. Andererseits kann nicht aus- 
geschlossen werden. da6 sich auf oben genanrrte 
Weise, das Restwertguthaben zumindest teilweise ent- 20 
Iddt. Das wdre aber bei einer Inspektion nachteilig. da 
das Restwertguthaben, welches vom Frankiermaschi- 
nennutzer bezahlt worden war. auch wieder geladen 
werden muB. die H6he dieses Restguthabens j«doch 
durch o.g. Einflusse verfSlscht sein kann. SchlieBlich ist 25 
der Beschreibung nicht entnehmbar, wie verhindert 
werden kann. daB ein Manipulator ein nicht bezahltes 
Restguthaben wieder herstellt. 

Bei bekannten Frankiermaschinen sind bereits wei- 
tere SicherheitsmaBnahmen wie Wegbrechschrauben 30 
und gekapseltes abgeschirmtes Sicherheitsgehduse 
bekannt. Ubiich sind auch Schlussel und ein Zahlen- 
schloB um den Zugriff auf die Frankiermaschine zu 
erschweren. 

In der US 4 812 994 soil ein unautorisierter Zugriff 35 
einer Benutzung der Frankiermaschine daruber hinaus 
durch Sperrung der Frankiermaschine bei Falschein- 
gabe eines vorbestimmten PaBwortes verhindert wer- 
den. 

AuBerdem kann die Frankiermaschine mittels PaB- 40 
wort und entsprechender Eingabe uber Tastatur so ein- 
gestellt werden. daB ein Frankieren nur wShrend eines 
vorbestimmten Zeitintervalls bzw. Tageszeiten moglich 
ist. 

Das PaBwon kann durch einen Personalcomputer 45 
uber MODEM, durch eine Chipkarte Oder manuell in die 
Frankiermaschine eingegeben werden. Nach positiven 
Vergleich mit einem in der Frankiermaschine gespei- 
cherten PaBwort wird die Frankiermaschine freigege- 
ben. Im Steuermodul der Abrechnungseinheit ist ein so 
Sicherheitsmodul (EPROM) integriert. Als weitere 
SicherheitsmaBnahme ist ein Verschlusselungsmodul 
(separater Mikroprozessor oder Programm fur FM-CPU 
basierend auf DES- Oder RSA-Code) vorgesehen. der 
eine den Portowert. die Teilnehmernummer. eine Trans- 55 
aktionsnummer und dhnliches umfassende Erken- 
nungsnummer im Frankierstempel erzeugt. Bei 
genugend krimineller Energie kdnnte aber auch ein 
PaBwort ausgeforscht und samt Frankiermaschine in 



den Besitz eines Manipulators gebracht werden. 

Es ist bereits in der US 4.812.965 ein Ferninspekti- 
onssystem fur Frankiermaschinen vorgeschlagen wor- 
den. welches auf speziellen Mitteilungen im Abdruck 
von Poststucken, die der Zentrale zugesandt werden 
miissen. oder auf einer Fernabfrage uber MODEM 
basiert. Sensoren innerhalb der Frankiermaschine sol- 
len jede vorgenommene VerfSlschungshandlung detek- 
tieren, damit in zugehOrigen Speichern ein Flag gesetzt 
werden kann, falls in die Frankiermaschine zu Manipu- 
lationszwecken eingegriffen wurde. Ein solcher Eingrlff 
kOnnte erfolgen, um ein nicht bezahltes Guthaben in die 
Register zu laden. 

Bei Feststellung einer Manipulation wird die Fran- 
kiermaschine wahrend der Ferninspektion uber Modem 
durch ein von der Datenzentrale ausgehendes Signal 
gesperrt. Eine geschickte Manipulation kdnnte aber 
andererseits darin bestehen, nach der Herstellung von 
nicht abgerechneten Frankieraufdrucken, das Flag und 
die Register in den ursprunglichen Zustand zuruckzu- 
versetzen. Eine solche Manipulation ware uber Fernin- 
spektion durch die Datenzentrale nicht erkennbar. wenn 
diese ruckgSngig gemachte Manipulation vor der Fern- 
inspektion lag. Auch der Empfang der Postkarte von der 
Datenzentrale, auf welche eine zu Inspektionszwecken 
vorzunehmende Frankierung erfolgen soil, gestattet 
dem Manipulator die Frankiermaschine in ausreichen- 
der Zeit in den ursprunglichen Zustand zuruckzuverset- 
zen. Damit ist also noch keine hChere Sicherheit 
erreichbar. 

Der Nachteil eines solchen Systems besteht darin. 
daB nicht verhindert werden kann. daB ein genugend 
qualifizierter Manipulator, welcher in die Frankierma- 
schine einbricht, seine hinterlassenen Spuren nach- 
trSglich beseitigt. indem die Rags geldscht werden. 
Auch kann damit nicht verhindert werden. daB der 
Alxdruck selbst manipuliert wird, welcher von einer ord- 
nungsgem^B betriebenen Maschine hergestellt wird. 
Bel bekannten Maschinen besteht die Moglichkeit. einer 
Herstellung von Abdrucken mit dem Portowert Null. 
Derartige Nullfrankierungen werden zu Testzwecken 
benOtigt, und kOnnten auch nachtraglich gefaischt wer- 
den. indem ein Portowert groBer Null vorgetSuscht wird. 

Ein Sicherheitsabdruck gemaB der FP-eigenen 
europaische Patentanmeldung EP 576 113 A2 sieht 
Symbole in einem Markierungsfeld im Frankierstempel 
vor. die eine kryptifizierte Information enthalten. Dies 
gestattet der Posttjehorde. welche mit der Datenzen- 
trale zusammenwirkt. aus dem jeweiligem Sicherheits- 
abdruck eine Erkennung einer Manipulation an der 
Frankiermaschine zu beliebigen Zeitpunkten. Zwar ist 
eine laufende Kontrolle solcher mit einem Sicherheits- 
atxiruck versehenen Poststucke uber entsprechende 
Sicherheitsmarkierungen im Stempelbild technisch 
mdglich, jedoch bedeutet das einen zusdtzlichen Auf- 
wand im Postamt. Bei einer auf Stichproben beruhen- 
den Kontrolle, wird aber eine Manipulation in der Regel 
erst spdt festgestellt. 

Andererseits kann im Datenzentrum eine zusStzli- 
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Che Auswertung hinsichtlich eines Nutzers einer Fran- 
kiermaschine, die vom Nuteer uber das 
S^Watum hinaus weiterbetrieben wurde erfol^ 
Jedoch kann bisher aus diesen Informafonen 
S^h nicht eine in Faischungsabsicht vorgenommene 
Manipulation geschluBfoigert werden. 

In der US 4 251 874 wird ein mechanisches Druck- 
werk das zum Drucken voreingestelit werden muB mrt 
S Detektorei nrichtung ven^endet, um d.e Vore.ns^el- 
fung zu uben«achen. Femer sind im elektron-schen 
rechnungssystem Mrttel zum Feststellen von Feh lern 
in Daten- und Steuersignalen vorgesehen. Erreicht 
diese Fehlerzah. einen vorgegebenen Wert. w.rd der 
weitere Betrieb der Frankiermaschine unterbrochen^ 
Ser plOUliche Austell der Rankiermaschine .st aber fur 
den FranWerrr^aschinenbenutzer nachteil.g. Be. emem 
nichtmechanischen Druckprinzip s.nd andererserts 
kaum solche internen Fehler zu erv-arten und be. anem 
schweren Fehler ist die Frankierrnasch.ne ohneh n 
towieso sofort abzuschalten. AuBerdem w.rd d.e 
a^^heit gegenOber einer Manipulation der Fran^aer. 
maschinedadurch kaum grSBer. indemd.e Franl.^^^^^^^^^^ 
schine nach einer vabest.mmten Fehleranzahl 

^'^^r de?:s'4 785 417 ist eine Fran.ermaschine 
mit einer Programmsequenzuberwachung bekannt. Der 
SrS Ablaut eines grCBeren Prc«rammstOd« w.«. 
mittels eines jedem Programmteil zugeordneten ^ez^- 
S en Codes kontrolliert, der bei Aufrut des P'ogramrn- 
sttcks in einer bestimmten Speicherzelle .m RAM 
aS^egt wi«l. Es wird nun uberprOfl. ob der in der vor- 
gSaSe^ speicherzelle abgelegte Code g^^^^^^^^ 

Iwaufenden Programmteil -^"-^'J'^^';;''^J";t 
WOrde bei einer Manipulation der Lauf e'n« P o 
grammteils unterbrochen und ein anderer Prog amnje. 
fauft ab, kann durch eine solche Kontrollfrage e.n FeWer 
estaes^ellt werden. Eine solche Ubenwachung auf Aus- 
Ohrung a er Programmteile beruht aut der Versch^- 
denheJ der Code, wobei bei einer sehr ^o^^^^ 
an Programmteilen auch die L^nQe des Cod^ortes 
entsprechend grofier sein muB. Ein Ve^le'C^ ^Jche 
Codeworter ist natOrlich zeitintens.ver was t^schneHe 
Frankiermaschinen einen Kostenmehrautwand fu 
einen schnelleren Prozessor verursacht. Be. aner 
Saniutetion mittels solcher fehlerfreien Programmte^e 
aus der Frankiermaschine. welche zu einem manipuher^ 
ten Programmstuck zusammengesetzt wurden. wurde 
Sn Fehler festgestelK werden. da bei Pro9ram-e " 
zweigungen nicht festgestellt werden kann, welcher 
Programmzweig wie oft durchlaufen wurde. 

Eine andere Art einer erwarteten Man.pulation .s 
das Nachladen der P^ankiermaschinenregister rn, 
einem nicht abgerechneten G^^^^^"" 
sich das Erfordernis einer gesicherten Nachladung^ 
line zusatzliche SicherheitsmaBnahme .st nach US 4 
549 281 der Vergleich einer internen in ejne.^ n.cht 
f^chtigen Register gespeicherten tester, Komb-nat^n 
n,it eiSer eingegebenen externen Komb.n^^n wobe 
nach einer Anzahl an Fehlversuchen. d.h. Nichtidentrtat 



der Kombinationen, die Frank.ermasch,ne ^Wels e.ner 
Hemmungselektronik gesperrt wird. Nach US 4 835 697 
kann zur Verhinderung eines unautorisierten Zugrifts 
auf die Frankiermaschine die Kombi"atl«i grun^^^^^^ 
, lich gewechselt werden. Aus der US 5.077.660 ist 
' auie'dem eine Methode zum Wechsel der Konf.gura- 
Sn der Frankiermaschine bekannt. wobe. ^.e Fran^e^- 
maschine mittels geeigneler Eingabe Ober e.ne Tastatur 
vom Betriebsmode in einen Kontigurationsmode umge- 
,0 schaltet und eine neue Metertypnummer e.ngegeben 
'° werden kann, welche der gewunschten Anzahl an 
Merkmalen entspricht. Die P^ankiermasch.ne generier 
einen Code far die Kommunikation m.t dem Computer 
der Datenzentrale und die Eingabe der Went^.tetons- 
,5 daten und der neuen Metertypnummer .n ^rge"ar«n 
Computer, der *enfells einen enlsprechenden Code 
zur Obermittlung und Eingabe in die Rank.errnasch.ne 
aeneriert in der beide Code verglichen werden. Be. 
ClSe-rnstimmung beider Code wird die Frank.erma- 
schine konfiguriert und in den Betriebsmode umge^ 
Shaltet. Die' Datenzentrale hat dadurch vom jewels 
eingestellten Metertyp fur die entsprechende Frankier 
maschine immer genaue Aufzeichnungen. Jedoch '^t 
die Sicherheit allein von der Verschlusselung der uber- 
a= tragenen Code abhSngig. 

Daruber hinaus ist aus der EP 388 840 A2 e.ne ver- 
gleichbare Sicherheitstechnikfiir ein Setzen einer Fran- 
Lmaschine bekannt. umdiesevon Date" zu saubenx 
ohne daB die Frankiermaschine zur Herstellerfirma 
so JanspSert we-den muB. Auch hier ist die Sicherheit 
S von der Verschlusselung der ubertragenen Code 

^""Sgesicherte Nachladung einer Frankiermaschine 
mit einem Guthaben wurde in US 3 255 439 einerserts 
3S Seits mit einer automatischen Signalubertragu^^^^^ 
der Frankiermaschine zur Datenzentrale ve*unden. 
wenn immer eine vorbestimmte Geldmittelsum^^^^^^ 
Che frankiert wurde. oder StOckzahl an bearbeiteten 
Poststocken oder eine vorbestimmte Zertpenode 
40 erreicht wurde. Alternativ kann e.n der Geldmittel 
Smme ^uckzahl Oder Zertperiode entsprechendes 
SgnTi Obermntelt werden. Dabei ertolgt die Komn^un,- 
k^ion mittels binarer Signale Ober m.teinander ub^ 
eine Telefonleitung verbundene Konverter Die 
« Saschine erhalt eine ebenso gesicherte Nachladung 
entsprechend der Kreditbalance und block.ert .n dem 
Fall, wenn keinKreditnachgeliefert wird. 

Aus der US 4 81 1 234 ist bekannt, d.e Transaktio- 
nen verschlQsselt durchzuf Ohren und dabei d.e Register 
so der Rankiermaschine abzufragen und die Reg.ste«^a. 
ten der Datenzentrale zu ubermitteln. um «nen ze.th 
Chen Bezug der Ven-ingerung des .m Reg.ster 
gespeicherten verfugungsberechtigten Betrages anzu- 
z?gen. Einerseits identifiziert sich die Prank-e^"^^" 
55 schine bei der Datenzentrale. wenn e.n >«re|^ns^'f^;|; 
Schwellwert erreicht ist. mittels ihres .^'e^^^'f ^^J?- 
Registerinhaltes. Andererseits modrfiz.ert d.e Daten 
Jtale durch entsprechende Berecht-gungs^gnale 
den gewunschten Frankierbetrag. b.s zu dem frankiert 
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werden darf. Die Verschlusselung ist somit die einzige 
Sicherheit gegen eine Manipulation der RegisterstSnde. 
Wenn also ein Manipulator zwar ordnungsgemaB 
immer den gleichen Betrag in gleichen zeitlichen Inter- 
vallen I3dt. aber zwischenzeitlich mit der manipulierten 5 
Frankiermaschine einen viel hOheren Betrag franklert, 
als er bezahit hat. kann die Datenzentrale keine Mani- 
pulation feststellen. 

Aus der EP 516 403 A2 ist bekannt, die in der Ver- 
gangenheit protokollierten urtd in einem Speicher 10 
gespeicherten Fehler der Frankiermaschine regelmaBig 
zu einem entlernten Fehleranalyseoomputer zur Aus- 
wertung zu ubertragen. Eine solche Ferninspektion 
eriaubt eine truhe Warnung vor einem auftretenden 
Fehler und ermOglicht weitere MaBnahmen (Service) zu is 
ergreifen. All ein dies bietet noch kein ausreichendes 
Kriterium fur eine Manipulation. 

Gema(3 der GB 22 33 937 A und US 5 181 245 
kommuniziert die Frankiermaschine periodisch mit der 
Datenzentrale. Ein Blockiermittel gestattetdie Frankier- 20 
maschine nach Ablauf einer vorbestimmten Zeit bzw. 
nach einer vorbestimmten Anzahl an OperationszyWen, 
zu blockieren und liefert eine Warnung an den Benutzer. 
Zum Freischalten muB von auBen ein verschlusselter 
Code eingegeben werden. welcher mit einem intern 25 
erzeugten verschliisselten Code verglichen wird. Um zu 
verhindern, daB falsche Abrechnungsdaten an die 
Datenzentrale geliefert werden. werden in die Ver- 
schlusselung des vorgenannten Codes die Abrech- 
nungsdaten mit einbezogen. Nachteilig ist, daB die 30 
Warnung zugleich mit dem Blockieren der Frankierma- 
schine erfolgt, ohne da3 der Benutzer eine MOglichkeit 
hat. sein Verhalten rechtzeitig entsprechend zu ^ndern. 

Aus der US 5 243 654 ist eine Frankiermaschine 
bekannt, wo die laufenden von Uhr/Datumsbaustein 3S 
gelieferten Zertdaten mtt gespeicherten Stillegungszeit- 
daten verglichen werden, Ist die gespeicherte Stille- 
gungszeit durch die laufende Zeit erreicht, wird die 
Frankiermaschine deaktiviert. das heiBt ein Drucken 
verhindert. Bei Verblndungsaufnahme mit einer Daten- 40 
zentrale, welche die Abrechnungsdaten aus dem stei- 
genden Register ausliest. wrrd der Frankiermaschine 
ein verschlusselter Kombinationswert ubermittelt und 
eine neue Frist gesetzt, wodurch die Frankiermaschine 
wieder betriebsfahig gemacht wird. Dabei ist der Ver- 45 
brauchssummenbetrag, der das verbrauchte Porto 
summiert enthSIt und von der Datenzentrale gelesen 
wird. ebenfalls Bestandteil des verschlusselt ubermittel- 
ten Kombinationswertes. Nach der Entschlusselung des 
Kombinationswertes wird der Verbrauchssummenbe- so 
trag abgetrennt und mit dem in der Frankiermaschine 
gespeicherten Verbrauchssummenbetrag verglichen. 
Ist der Vergleich positiv, wird die Sperre der Frankierma- 
schine automatisch aufgehoben. Durch diese Ldsung 
wird erreicht daB sich die Frankiermaschine bei der ss 
Datenzentrale periodisch meldet, um Abrechnungsda- 
ten zu ubermitteln. Es sind jedoch Benutzungsfaile 
durchaus denkbar, wo das zu frankierende Postaufkom- 
men schwankt (Saisonbetrieb). In diesen Fallen wurde 



in nachteiliger Weise die Frankiermaschine unnOtig oft 
blockiert werden. 

Es war die Aufgabe zu Idsen. die Nachteile des 
Standes der Technik zu uberwinden und einen signifi- 
kanten Zuwachs an Sicherheit ohne eine auBerordentli- 
che Inspektion vor Ort zu erreichen. Dabei soil ohne 
daB eine besondere mechanische Kapselung bzw. 
ohne daB ein Sensor zur Erkennung des geGffneten 
Gehauses erforderlich ist, eine in Faischungsabsicht 
vorgenommene Manipulation erkannt urxJ die Datensi- 
cherheit erhOht werden. Das Sicherheitsgehduse soli 
durch ein Gehause ersetzt werden. welches die 
Zuganglichkeit auf einzelne Bausteine der Elektronik fur 
den Servicetechniker verbessert. AuBerdem soil ein 
Prozessor ohne einen internen NV-RAM eingesetzt 
werden. Eine weitere Aufgabe ist es. die Sicherheit der 
Schlussel in der Frankiermaschine zu verbessern. die 
bei einer Kommunikation mit dem Datenzentrum bend- 
tigt werden. wenn Daten ubermittelt werden. 

Die Aufgabe wird mit den kennzeichnenden Merk- 
malen des Anspruchs 1.13 bzw. 14 gelost. 

Die Erfindung geht von einem Prozessor aus, der 
nur einmal programmiert werden kann. 

Eine erh6hte Sicherheit kann beispielsweise mit 
einem maskenprogrammierten Mikroprozessor erreicht 
werden, der nach auBen Port's und eine interne Bus- 
struktur. ein internes ROM. ein internes RAM fur sicher- 
heitsrelevante Abldufe aufweist. In das interne Rom 
werden sicherheitsrelevante Daten und Routinen wdh- 
rend der Herstellung eingebrannt. 

Eine bevorzugte Variante geht von einer Frankier- 
maschine mit Mikroprozessor aus. in der Mikroprozes- 
sor einen internen ROM enthdit der ein Auslesen des 
darin enthaltenen Programmcodes nicht eriaubt. Dies 
kann ein handelsublicher OTP-Prozessor (ONE TIME 
PROGRAMMABLE) sein. den man nach dem Program- 
miervorgang durch setzen/brennen einer Auslese- 
sperre in einen solchen Zustand versetzt. 

Die Frankiermaschine kann auch mit einem OTP- 
Typ ausgerustet werden. der ein Ausiesen von sicher- 
heitsrelevanten Daten und Programmen in verschlus- 
selter Form gestattet (Encryption-Table). Das hat den 
Vorteil, daB eine Kontrolle daruber mOglich ist, ob die 
Daten ordnungsgemdB gespeichert wurden. 

Die Erfindung hat den Vorteil, daB Programmcode 
und konstante sicherheitsrelevante Daten nicht verSn- 
dert, nicht ubersprungen und nicht ausgespSht werden 
kOnnen. Damit ist die Programmausfuhrung von Pro- 
grammteilen, die im internen OTP-ROM ausgefuhrt 
werden, nicht manipulierksar. Solange keine Programm- 
verzweigung stattfindet besteht ein sicherer Schutz vor 
betrugerischer Manipulation. Erfindungsgem^B wird mit 
den Programmterlen. die im internen OTP- ROM ausge- 
fuhrt sind. auch ein Schutz auch von extern gespeicher- 
ten Programmteilen ermdglicht. die Ijeispielsweise in 
einem EPROM gespeichert vorliegen. Im OTP-ROM 
sind erfindungsgemdB auch eine Vielzahl von Schlus- 
sel n und ein Verschlusselungsalgorithmus gespeichert. 
welche bei der Programmausfuhrung von sicherheitsre- 
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Die eriindungsgemaue LOsung Qe^t we 

Haft Hie in der FranWermaschine gespei 
""r^T Gtrdrnfttl vor unautorisiertem Zugriff 

:Swrs::crdr;r^^s-n--^^^^^^^ 

nicht mehr lohnt. /r»NP TIME 

Authentilication Code ('^'^^^^^^'^'Jie Information 

Enay^ on Sdard (DES) 9^^^^, 
SL^n MAC-lnformationen an d.e s'^e^^g^^J. 
S^Registerdatenanh^ngenunds^^^^ 
ri^eit der Manipulation an den Postreg.stern 

''**Se sichert^eitsrelevanten Programmteile urnfas^ 

:-:s:Srr-^^^^^^^ 

Bn'eaSrSrheitsmaBnahme. die .us.t.ich 

. JSo^ta^Ung (^n S^r?. 
Oberprofung a«auten K^^^^^^^^^ 

Programme od^ Prog^ Ab*eichung der Uuf- 

visions Mode (K^ J^J^^ J programmteilen von einer 

zeit von P'<^'7'7;. f ^/Jie^bei Manipulation bzw. 
vorbestimmlen Laufzeit. wie s'e De' k 
Ober./achung des P^ogrammaWau^es -"J^^^^^p^^. 

wird a"f«f^^fl/^^°^nn daraus den eigentlichen 
Sf^efir^ ESI^I^ote.^^^ zurOckgewinnen. we. 

TranSiionen zwischen Fraal.ermasch.ne und 
Datenzentralebenetigtwird. 



Die Franklermaschine kann von Oer SyJ^-J^^ 

Su^S .era*."' tto^^SillC?" 

^rKlrl^Kations^^^^^^ 

Ausaehend von der Uberlegung mit nur e.nem 

Frankiermasch.ne 'v"' ^^haflen. bildet 

30 Berechnungsbasis aufgrund ^J^^^^f^^rd?^^^^ 
dere in Verbindung de Stucleahl se t^^^^ 
Kommunikation, gestattet Qrt vorzu- 
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ausgedruckt, um die Art des erforderlichen Eingriffs zu 
ermitteln. Nach einem erfolgten autorisierten Eingriff in 
die Frankiermaschine ist der ursprungliche Betriebszu- 
stand mittels spezieller geeigneter Weise eingegebe- 
nen Daten wiederhergestellt. 5 

Nimrrrt aber ein Manipulator einen unautorisierten 
Eingriff vor. wird die Frankiermaschine nach dem Ein- 
schalten durch das Oberfuhren der Frankiermaschine in 
den ersten Modus (Error Handling) wirkeam au3er 
Betrieb gesetzt. io 

Eine andere SicherheitsmalSnahme. die im zweiten 
Modus neben oder anstatt einer Sleeping-Mode-Varl- 
ante durchgefCihrt werden kann, ist der Error Overflow 
Mode. Dieser verlSngert die Reaktionszeitdauer der 
Frankiermaschine bei Uberschreiten einer vorbestimm- is 
ten Anzahl an Fehlern und meldet uber die Anzeige die- 
sen Zustand an den Bediener der Frankiermaschine. 
Wird der Zustand der Oberschreitung der Fehleranzahl 
nicht beseitigt, beispielsweise im Rahmen einer inspek- 
tion durch einen Servicedienst oder durch Rucksetzen 20 
wShrend einer Kommunikation mit der Datenzentrale, 
kann die Reaktionszeitdauer weiter erh6ht werden, um 
eventuelle Manipulationen zu erschweren. 

Das Verfahren zur Absicherung von Daten und Pro- 
grammcode einer elektronischen Frankiermaschine. 25 
welche zur Kommunikation mit einer entfernten Daten- 
zentrale fahig ist und einen OTP-Prozessor in einer 
Steuereinrichtung der Frankiermaschine aufweist. 
umfaBt auBerdem das Obertragen eines extern gespei- 
cherten vorbestimmten MAC-Wert in den Internen OTP- 30 
RAM und ein Bilden einer Ghecksumme im OTP-Pro- 
zessor Liber den Inhalt desjenigen externen Speichers, 
welchem der MAC zugeordnet ist, und einen Vergleich 
des Ergebnisses mit dem im Internen OTP-RAM fluchtig 
gespeicherten vorbestimmten Wert des MAC vor 35 
und/oder nach Ablauf des Frankiermodus bzw. 
Betriebsmodus, und somit auch nach der Initialisierung 
(das helBt wenn die Frankiermaschine betrieben wird), 
Oder In Zeiten, in welchen nicht gedruckt wird (das heiBt 
wenn die Frankiermaschine im Standby-Modus betrie- 40 
ben wird). Im Fehlerfall erfolgtdann eine Protokollierung 
und anschlieBende Blockierung der Frankiermaschine. 

Die Erfindung umfaBt weiterhin eine Durchfuhrung 
von Authentizitatsprufungen im Ergebnis der Druckda- 
teneingabe fiir Rahmen und/oder Fensterdaten wSh- 45 
rerxlder Start- und Initialisierungsroutine 101 und einer 
Eingabe-, Anzeige- und Prufroutine fur sicherheitsrele- 
vante Fensterdaten welche bei der Druckdateneingabe 
geSndert wurden. Bei fehlender Authentizitat werden 
Schrrtte zum Verhindern einer weiteren Programmaus- so 
fuhrung bzw. einer vom OTP-Prozessor nach extern 
fuhrenden Programmverzweigung Im Rahmen vorge- 
nannter Systemroutine. Bei bestehender AuthentizltSt 
werden Schrltte zur weiteren Programmausfuhrung im 
Rahmen vorgenannter Systemroutine durchgef uhrt. 55 

ErfindungsgemSB ist ein Verfahren vorgesehen, 
umfassend 

a) eine Startsicherheitsuberprufung Im Rahmen 



einer Start- und Initialisierungsroutine. welche 
abiauft vor einer sicheren Druckdatenaufrufroutine 
und der nachfolgenden Systemroutine. zur Fest- 
stellung der Gultigkeit eInes Programm- Codes 
und/oder von Daten Im vorbestimmten Speicher- 
platz, 

b) Uberfuhrung der Frankiermaschine in die vorge- 
nannte Systemroutine bei Gultigkeit der Daten oder 
Uberfuhrung der Frankiermaschine In einen ersten 
Modus, wenn die Daten ungultig sind bzw. ein spe- 
zif isches Manipulationskriterium erfullt ist, 

c) kontinuierliche Programmuberwachung Inner- 
halb der Systemroutine und Uberfuhrung der Fran- 
kiermaschine in den ersten Modus, wenn die Daten 
ungultig sind bzw. ein spezifisches Manipulations- 
kriterium erfullt ist, wobei uber jeden der SubblOcke 
eines Blocks eine Prufsumme oder MAC inkremen- 
tell berechnet wird, wobei eine kumulierte Pruf- 
summe bzw. MAC gebildet und ein Vergleich mit 
einem fruher gespeicherten Wert fur vorgenannte 
Prufsumme bzw. MAC vorgenommen wird. um die 
Authentizitat der Programmteile voranschreitend 
festzustellen. 

Vorteilhafte Weiterbildungen der Erfindung sind in 
den Unteranspaichen gekennzeichnet bzw. werden 
nachstehend zusammen mit der Beschreibung der 
bevorzugten AusfCihrung der Erfindung anhand der 
Figuren nSher dargestellt. Es zeigen: 

Figurl, Blockschaltbild einer Frankiermaschine 
mit erfindungsgemaB erhdhter Sicherhelt. 

Figur 2, Variante mit OTP in der Steuereinrichtung 
der Frankiermaschine, 

Figur 3. Gesamtablaufplan fur die Frankierma- 
schine nach der erfindungsgemaBen 
LOsung, 

Figur 4, Ablaufplan fur die Start- und Initialisie- 
rungsroutine, 

Figur 5. Ablaufplan fiir den Frankiermodus. 

Figur 6, Bilden einer MAC-PrCifsumme mittels Ver- 
schlusselung fur ein externes Programm- 
EPROM, 

Figur 7. Ablaufplan zum Prufen eines externen 
Programm-EPROM 's. 

Figur 8, Bilden einer MAC-Prufsumme mittels Ver- 
schlusselung fiir ein externes Klischee- 
EPROM. 

Figur 9. Ablaufplan zum Prufen eines externen Kli- 
schee-EPROM's. 
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Figur 10. 

Figur 1 1 , 
Figur12. 



Figur13. 
Figur 14, 



AWaulplan zum Absichern ausgewShlter 
Registerdaten, 

AWaulplan zum PrOfen ausgewaWter 

Registerdaten. 

Ablaufplan zur EingabeverschlCteselung 
der Schiassel. die fur die Qes-cherte Uber- 
tagung von Daten zwischen Frank>erma- 
2hL und Datenzentrale emgesetzt 
werden, 

Ablaufplan zur Entschlusselung der 
SchlOssel for die Fernwertvorgabe 

Ablaufplan zur Absicherung von sicher- 
heitsrelevanten Daten m e.nem fre. 
zuganglichen Speicher 

Piour 15 Prufschritt im Ablaufplan zur Absicherung 
■^'^^ ■ vorsicherheitsrelevantGn Daten 

Figur 16, Aufteilung der EPROM-Speicherbereiche 

Figur 17, Ablaufplan zur kontinuierlichen Pro 
grammubenwachung 

nie Fiaur 1 zeigt ein Blockschallbild der erfindungs- 
Ein/Ausgabe-Steuermodul 

Cher 9. mil dem ^'^^t^^-^^" /^^^^^^^^^^^^ einen 
nichtfluchtigen A,be.tsspe.chern ^a. 

Kostenstellenspeicher "'^^^^"j.^'^l^g!^,^ bzw. Vor- 



gegenEntnahmegesichertwird. ^,„irtr„ni- 
in der Figur 1 ist ein Blockschaltoild ejner 

enthaltenen Programmcodes "'^ht e naum^ 
11 sichert^eitsrelevante Daten - '"^f^«^"^J^ ^ 
n«;Beichert Zur Verhinderung des Ausiesens au 

"nLe>soM*.. 'S^J^^ ^ 

dem Programmiervorgang durcn seizeruu 

Eber l/O-Ports mit dem OTP verbunden se.n^ 
^^^^nebevorzugtevana^^^^^^^^^ 

r :SirKe-r S^^^^^^ -.gnetj 

Snster aufw^st. ^^^^f ^t^^P ^^m"^^^^^^^^^ 
programmiert werden. Der interne OTP ham na 

^^*S"S"*eTrtiSg davon aus, daB 

^rJnm Betrieb einer FranWermaschine benotigte 
gesamte fb e ner ^^^gggorinternen 

SSmS also Sn s wiLen Speichers (EPROM) 

101 eine Funkt onsprufung mit anscniieoenu 
lerung vorgenommen und erst spater auf ene System- 
routine 200 verzweigt wird. 
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Ein Programmcode im nichtlesbaren internen OTP- 
ROM eriaubt nun mehrere vorteilhafte Startsicherheits- 
uberprOfungsroutinen aber mindestens diejenigen, wie 
sie in der Figur 4 benannt sind und in Verbindung mit 
den Figuren 7. 9 und 1 1 nSher dargelegt werden. 

Diese Routinen betreffen das Verfahren zur Absl- 
cherung von Daten und Programmcode einer elektroni- 
schen Frankiermaschine und dienen der Verbesserung 
der Sicherheit dieser elektronischen Frankiermaschine 
im Rahman einer Startsicherheitsuberprufung in Ver- 
bindung mit ihrer Initialisierung. 

Nach dem Start erfolgt im Schritt 101 eine Startrou- 
tine und eine Initialisierung der Frankiermaschine. Sol- 
Che Routinen initialisieren die Hardware und Anzeige in 
ubiicher Weise und starten einen Timer und/bzw. Inter- 
rupt. Der Schritt 101 schiieBt erfindungsgemSB eine 
Startsicherheitsuberprufung 1020 ein. 
Eine Startsicherheitsuberprufungsroutine. die mit ihrem 
Programmcode die wichtigsten extern gehaltenen Fran- 
kiermaschinen-Daten und externen Programmcode v6l- 
lig gekapselt im internen ROM- und RAM- Bereich des 
OTP uberpruft, kann. ohne da3 dabei eine auBere Ein- 
wirkungsm6glichkeit in Manipulationsabsicht besteht, 
Manipulationen erkennen, die wShrend des ausge- 
schalteten Zustandes der Frankiermaschine durchge- 
fuhrt worden sind und dann den weiteren Betrieb der 
Frankiermaschine wirkungsvoll sperren. falls die Uber- 
prOfungsroutinen nicht fehlerfrei durchlaufen werden. In 
diesem Fall verbleibt der Programmablauf in einer Pro- 
grammendlosschleife im OTP- ROM (error handling 
1030). Erst nachdem die Checks fehlerfrei durchlaufen 
sind. werden die externen Speichermedien vom Mikro- 
prozessor (Eprom lesen, RAM schreiben) benutzt und 
wird die Systemroutine 200 erreicht. 

In der Figur 4 ist der schematische Programmab- 
laufplan aller Funktionen, die wahrend der Startsicher- 
heitsuberprufung der Frankiermaschine im OTP-ROM 
ausgefuhrt werden, dargestetlt. Erfindungsgem&B 
umfafJt die Startsicherheitsuberprufung der Frankier- 
maschine eine Vielzahl von Routinen, neben der Rou- 
tine 1026 fur die Absicherung des externen 
Programmspeichers. 

Beispielsweise bezeichnet die nicht nSher beschrie- 
bene Routine 1021 eine Uberprufung des internen 
OTP-RAM hinsichtlich seiner Betriebsfahigkeit. In den 
Routinen 1022 und 1023 werden die Programmversi- 
onsnummern verglichen. das heiBt festgestellt, ob der 
gebrannte OTP mit dem EPROM einen Satz an voll- 
standigen Programmcode bildet bzw. ob ein anderer 
EPROM zum OTP geh6rt. In der Routine 1024 wird 
anhand der vom Klischee-EPROM vorgegebenen 
Daten uberpruft. ob ein gultiges bzw. zum o.g. Satz 
zugehGriges Klischee-EPROM im Sockel steckt. Hierbei 
ist als Vorteil zu en^ahnen. daB das Klischee-EPROM 
nicht nur ausschlieBlich vom Servicetechniker. sondern 
auch problemlos von jeder anderen befugten Person in 
den Sockel gesteckt bzw. ausgewechselt werden darf. 
Spezielle Treiberschaltkreise (Buffer), welche zwischen 
Bus und EPROM-Sockel geschaltet ist (Fig. 2), verhin- 



dern das Auslesen von frankiermaschineninternen 
Daten nach auBen. Andererseits kSnnen Daten jeder- 
zeit uber den Sockel in die Frankiermaschine eingege- 
ben werden. 

5 Wahrend die Routine 1026 die Absicherung des 

externen Programmspeichers und die Routine 1025 die 
Absicherung der von auBen zugSnglichen Eproms und 
der darin gespeicherten Daten vor Manipulationen 
durch Sicherheitsuberprufung betreffen, wird in den 
10 Routinen 1027 und 1028 eine erste Uberprufung von 
sicherhettsrelevanten bzw. Postregisterdaten im exter- 
nen NVRAM und EEPROM vorgenommen. Die Routine 
1029 stent ungultige Oder reparaturfahige Datenkopien 
fest und beseitigt gegebenenfalls den Fehler. 
IS Im Schritt 1029 wird - wie das in der europSischen 
Anmeldung EP 615 211 A1 naher erlSutert wird - min- 
destens eine Registerprufung der Datenstruktur der 
Postregister durchgefuhrt. um die Fehler zu protokollie- 
ren. Dort wird ein Verfahren zur Speicherkorrektur 
20 sicherheitsrelevanter Daten in einer Frankiermaschine 
vorgeschlagen, wobei redundant abgespeicherte Daten 
untereinander verglichen werden, um einen Speicher- 
bereich mit fehlerhaften Daten wieder mit fehlerfreien 
Daten zu laden. Das ist aber bei einem sechsten Feh- 
25 lertyp nicht mehr mdglich. weil alle redundant gespei- 
cherten Daten nun unterschiedliche Fehler haben, 
welche nicht mehr automatisch korrigiert werden kon- 
nen. Nur ein Servicetechniker kSnnte die Daten nach 
einer vorbestimmten Weise rekonstruieren, was dann 
30 nach jedem autorisiertem Offnen vor erneuter Inbe- 
triebnahme der Frankiermaschine zu geschehen hat. 
Im Schritt 1030 werden deshalb auch MaBnahmen 
ergriffen, um die Frankiermaschine bei Registerdaten- 
strukturfehlern zu sperren. 
35 Die folgend naher beschriebene Routine 1026 fur 
die Absicherung des externen Programmspeichers 
basiert auf der Speicherung eines MAC im jeweils abzu- 
sichernden Speicherbaustein. Das hat neben der erfor- 
derlichen Aufrechterhaltung der Datensicherheit vor 
40 allem den Vorteil einer Austauschbarkeit eines fehlerbe- 
hafteten Programm-EPROM's, ohne daB gleichzeitig 
auch der zugehorige OTP ausgetauscht werden muBte. 

Zur Absicherung des externen Programmspeichers 
erfolgt im Schritt 1026 eine Anwendung des MAC-Ver- 
45 fahrens zur Uberprufung der Integrity des Programm- 
code externer busgekoppelter Speicher (EPROMs) vor 
dem Buszugriff des Prozessors und wahrend der lau- 
fenden Programmausfuhrung. In vorteilhafter Weise 
lassen sich mit einem Geheimschlussel der unausles- 
50 bar im internen Programmspeicher versteckt ist. sichere 
kryptographische Funktionen realisieren. deren Sicher- 
heit auf der Benutzung dieses Geheimschlussels 
beruht. Werden Daten betreffend einer Prufsumme 
(z.B. ORG) uber den Speicherinhalt (Block 70) des Pro- 
55 grammspeichers mit einer krytographischen Funktion 
(Block 60). wie z.B. Data- Encryption-Standard (DES), 
unter Venwendung dieser Geheimschlussel (Block 61) 
verschlusselt. wird eine kryptographische Prufsumme 
erhalten, den sogenannten Message-Authentication- 
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/MAn der eine PrOfsumme (z.B. CRC) uber den 
Code (MAC) der erne ErfindungsgemaB 
Speicherinhalt (BlocK /u; ^-iwiunkt t, gebildet, 
w'd dieser MAC einmal zu ^Jj^^^^ in 

stems abgespeichert. wobei die- 

den EPROM eingebrannt. 

summe mit DES-Veilahren einge- 

zugeordnet ist. eriautern) 
in der EP 660259. fig. v ^i^i^-nnischen Frankierma- 

schine vorgeschlagen. We. ernin sjcherheils- 25 

dielnitialisierungvorgeschlagen wobe.em^ 

rard^es°i:ren%rog...^^^^^^ 

gleich erfolgt. Jedoch ^"S^Jf^^^*;;^^^^ so 
Ten OTP mit internen N^BM^ sespe^ert- 

h,ndern cteB_ soteW a internen ROM-Bereich ver- 
Jump- Oder nher den Mikropro- 

zessor m.t eigenem P^°^r^^"^ sicherheitsuberprO- 
ubernehmen kann ""^^f^. " .^ler im OTP-ROM 
fungsroutinen. die e,gem^h ^^^^^^^ vvei- 
durchgelOhrt ^"9etei.t welche 

terhinwurde nocb Karie^^^^^^^^^ den als « 

;rs;e^r.r^°^-^^^^^^ 

'^--^^^^ 

externen P'ogramm-EPRUMs m Laufzeit 

veriabren auf ^^^^^trnlfS^^^^^^^^^ 
der Frankiermaschine kann M'«rop 

nach dem gleichen '^^^SXh'^f;^^ ^^^^^^^ so 

bereich (Schritt i o^b.i j u zuhiltenahme 
zum ZeilpunktT, und sP;!«:Jf-^'^^ ,^263) bilden 

und diesen MAC (Ts+n) f^i'^ "J ^ , vergleichen 55 



neteMaBnabmenanzeigen. 

Die kontmuierliche ^^AC-B■.ldung erfo^gt - 
ScnriU 210 der ^^'S-^ ^eze^: -^^^^^^^ 
^ttlindenden Start^'^^^^^^^^^ sodaB 
jedem Durchlauf der Betnet^sprog ^ 
loranschreitendOber,.««e^s^^^^^^ 
Programmspeicherzellen mtttej desj^^^ 

rrr~n gip^SeC zum Z^e^un« 

wurde. 'st^d^^^P^'^.';^^'^ B gibl es einen zugehorigen 
unterteiltZuiedem Block egiDi ,„ ^n 

MAC. der die GOIt.gke.t df BIcxks 
Block umfaBt beisp.els«.e^e 4 KBy^ Be^ . 
KBvte EP^OJ^^yitt n mSSe^Subbiacke SB 
SSt. oTi sSlLe SB .aben eine GraBe von 
vorzugsweise16Codew6rtem^^^^^ ^.^ 
Die 17 Q^Teigten AWaufplanes 

SB«e<den im aWucJIen Block S*« ^ 

aus mrttels Dbb- versu nu5»o » cbenfalls wird 
zu Beginn ist die ^^'f''^^^ ""^'J'atr 1^^^^^^ Sub- 
wahrend der Startroutme f^^"^ J/^"^^^ d-,, p,ofsum- 
biocKzabler au, den^^^^^^^^^ 

men-taw.d.eMAC-Berechnung ^achsten 
wird erliridungsgem^B u-^erbr^^^^^^^ ^.^ 

^■^■"irj? MaS geMdet. Der Subblockzahlerstand 

feSr;rcbsten -r^-'J^tanrdr^iel^^^^^^^ 
kumalieren zu k6nnen und ""ljl!""g^^schritl 210-2 
inkrementellen MAC '''"^"^^^trerfwird Ober 
... .nkremerj^.^^^^^^^^^ 

einen Pf"<«^^''*/^° ^ f^JTin^ale Subblockzahlerstand 
verzweigt. wenn der '"^'"'^^ .*^„enfalls sind a^ 

Endstand bei oer rru!. weiterem 

MAC-Bildung ist ^^^'^^^^ f^"" •^"^^"jite PrCifsumme 
Schritt 210-4 die vorgenannte kumuiiene r 
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bzw. der MAC mit einem zugehdrig gespeicherten Wert 
verglichen werden. Derzugehdrig gespeicherte Wert ist 
eine Prufsumme bzw. ein MAC, welcher den Subblock 
authentifiziert. Der zugeh6rig gespeicherte Wert kann 
im selben zu prufenden EPROM oder in einem andern 5 
Speicher, beispielsweise Im internen OTP-ROM. zum 
Zeitpunkt Tl. vorzugsweise beim Frankiermaschinen- 
hersteller bei der Programmierung des OTP, eingespei- 
chert worden sein. 

Wird im nachfolgenden Schritt 210-5 festgestellt. 10 
daR keine Identitat und somit ein Fehler vorliegt, wird 
auf eine - nicht gezeigte Fehlerroutine verzweigt. Bei- 
spielsweise wird ein Flag gesetzt, welches in Schritt 409 
des Frankiermodus 400 ausgewertet wird (Fig.5). Ande- 
renfalls, bei Identitat, ist die Autentifizierung erfolgreich 75 
abgeschlossen worden und und es werden der Schritt 
21 0-6 zur Blockinkrementation und der Schritt 210-7 zur 
Rucksetzung des Subblockzahlerstandes und der Pruf- 
summe auf den Wert Null erreicht. 

Der jeweils aktuelle Block B wird durch den Block- 20 
zShlerstand BZ eines Blockz^hlers ermittelt, welcher 
hard- Oder softwaremSfBig realisiert werden kann. 
Ebenso wird der jeweils aktuelle Subblock SB durch 
den Subblockzahlerstand SBZ eines BlockzShlers 
ermittelt, welcher ebenfalls hard- oder softwaremSBig 25 
realisiert werden kann. Anschlie3end wird der nachste 
Subblock 

Bei jedem Durchlauf wird uber die 16 Codeworter 
eines Subblockes eine inkrementelle Prufsumme gebil- 
det. Beim Erreichen des jeweiligen Blockendes (im vor- 30 
genannten Fall nach 4096/16 = 256 DurchlSufen durch 
die Systemroutine) wird die kumulierte Prufsumme mit 
dem zugehGrigen Wert bzw. die MAC'S verglichen. Bel 
Ubereinstimmung wird wieder der Blockzahler im 
Schritt 210-6 auf den folgenden Block (BZ := BZ+1) 35 
gesetzt und der Subblockzahler auf den Anfang des 
neuen Blocks gesetzt (SBZ := 0). Die Prufsumme Ist 
somit ebenfalls wieder Null. AnschlieRend wird im 
Schritt 210-8 gepruft, ob alle BI6cke abgearbeitetet wur- 
den. Wurde der letzte Block abgearbeitet, so wird der 40 
Blockzahler wieder auf den ersten Block gesetzt (BZ := 
0) und dann auf den Punkt e verzweigt. Somit wird das 
System korttinuierlich uberpruft. 

Das vorgeschlagene Ausfuhrungsbeispiel ist an 
jedes System anpafJbar. AbhSngig vom verwendeten 45 
System kann es sinvoll sein, die BlockgrdBe und die 
SubblockgrGBe anders zu wShlen. Eine zu geringe 
Blockgr6Re hat aber den Nachteil, daB die Anzahl der 
MAC-Prufsummen steigt und damit auch mehr Spei- 
cherplatz verbraucht wird. Eine zu geringe Subblock- so 
gr6Se bedeutet, daB sehr hSufig Prufsummen 
berechnet werden und Abfragen erfolgen. so daB der 
Zertbedarf wieder steigt. 

Durch die voranschreitend uber jeweils eine gra- 
Bere Anzahl von Programmspeicherzellen erfolgende 55 
Prufung wird erreicht, daB die Zeit bis zu einem MAC- 
Prufsummenvergleich uber den gesamten Speicherin- 
halt relativ kurz ausfailt. Das Intervall zwischen den 
Prufsummenvergleichen kann auBerden noch mit - 



einer nicht gezeigten - zeitlichen Uberwachung ver- 
kniipft werden, so daB ein Anhalten des Programms 
erkannt wird und zur gleichen Fehlerbehandlung, wie 
bei einem negativen MAC-Vergleich fuhrt. 

Die Figur 8 zelgt das Bilden einer MAG-Prufsumme 
mit DES-Verfahren uber EPROMs im Sockel der offe- 
nen Postklappe. Dies ist eine weitere vorteilhafte 
Anwendung des MAC-Verfahrens zur Oberprufung der 
Integritat der Daten und des Programmcodes von 
Eproms. die bei einer Frankiermaschine mit gebffneter 
Postklappe in den extern zugSnglichen Sockel einge- 
setzt werden. 

In EP 660 269 wird noch von einer Frankierma- 
schine ausgegangen, die eine verschlieBbare und ver- 
siegelte Klappe hat, die den Zugrlff auf die dahinter 
liegende Hardware (EPROM-Sockel) nur einem 
begrenztem speziell vertrauenswurdigen Personenkreis 
eriaubt. Hier konnte davon ausgegangen werden, daB 
durch diese Personen kein Manipulation der Frankier- 
maschine erfolgt. Es wurde nun eine LOsung gefunden, 
daB die Sicherheit fur eine Frankiermaschine aufrecht 
erhalten werden kann, die eine teilweise geoffnete Post- 
klappe aufweist. Das hat den Vorteil, daB der Anwender 
Zugriff auf den Klischee-EPROM-Sockel hat und den 
Klischee-EPROM selbstSndig wechseln kann. Dieser 
Sockel ist, wie in Figur 2 zu entnehmen. mit dem Mikro- 
prozessorbus verbunden. d.h. eine Manipulation kOnnte 
so erfolgen, daB ein Manipulator ein manipullertes Pro- 
gramm-EPROM einsetzt, das wie ein RESET-Eprom die 
Kontrolle uber das Mikroprozessorsystem ubernimmt 
und somit Geldwerte, EintrSge oder Sicherheitselntrage 
In der Frankiermaschine gezlelt verandert Oder daB er 
ein manipullertes Klischee-Eprom einsetzt, daB verSn- 
derte Druckdaten des Wertstempels enthait (Ort des 
Absenders, Postleitzahl des Absenders) und eine Mani- 
pulation des Wertstempelalxjruckes zur Folge hatte. 

Die Figur 8 zeigt die Absicherung eines welteren 
externen EP ROM's. Auch hier ISBt sich das bereits 
oben erwShnte Prinzip der MAC-Absicherung uber die 
Speicherbereiche anwenden, da mit einem Geheim- 
schlussel der unauslesbar im internen Programmspei- 
cher (OTP-ROM) versteckt ist. sIch sichere 
kryptographische Funktionen realisieren lassen, deren 
Sicherheit auf der Benutzung dieses Geheimschlussels 
beruht. Verschlusselt man eine Prufsumme dieser 
Datenbereiche (Block 40) mit einer krytographischen 
Funktlon (Block 60) z.B. DES unter Venwendung dieser 
Geheimschlussel (Block 40) entsteht eine krytographi- 
sche Prufsumme, welche den Spelcherinhalt abbildet. 
Dieser MAC muB einmal zu einem Zeitpunkt T^ gebildet 
werden, zu dem Manipulationen ausgeschlossen sind 
und wird In dem betreffenden Eprom, der in dem Kli- 
scheesockel eingesetzt wird (Klischeeeprom. RESET- 
Eprom). abgespelchert (Block 41). Dieser MAC(Ti) wird 
z.B. wShrend der Programmcode-Datenerstellung des 
RESET-Eproms im Personalcomputer und bei der Kli- 
scheedatenerstellung mit dem kryptographischen Priif- 
summenverfahren (z.B. DES-Algorithmus) gebildet und 
in einem definlerten Speicherbereich in den Eprom- 
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MAC den Zalpu*! 3, des ateicnen 

GeheimschlusseisDuaen u . ^er- 

Die Startsichertieitsuberprulung in de b«ri 
initialisierungsroutine wird o^p. 

Prozessors (ONE T^^Jl^J:^^^ programmteile und so 
Auch weitere sicherhertsrelevante ScWusseiaaw 

l^iS'lsWie Flour 1) . mH einem MAC oerete 

, sfflcHaNer,e9lae.H4.m«dimWderF,ankle.- 

den: 

bild zur visuellen Postkontrolle 
Sleeping Mode 

Eine Manipulation von R4 wurde Jiese «u.gf ^ 
steten SicherheitsOberprOfungen .n Frage stellen 



und deshalb wird R4 in die nachfolgende MAC- 
Absicherungvon Registern einbezogen. 



2 seriennummer. mit der das Benutzenj^n 
NVRAM s aus anderen Frankiermasch.nen verh.n- 
dertwerdentena Franl«ermaschine 
Z rdTe' R^strcSenTe Seriennu^^^^^^^^^ 

derliche Sicherheitsrelevante Daten (^ B Codewort 
Y ?ags) in einem NVRAM halt (siehe ^9"^;) 

der Steuereinheit aufgelOtet .st. sondern in 
^^^m ^andioblichen Sockel stecKt. damit .m Ser- 
3l dieser NVRAM Q-gen .-^^ 
ziellen Servicecomputer ausgelesen weraen ^ 
urn z.B. Registerdaten zu auszulesen. 

ren FranWermaschine. die einen 

Datensatz.m NVRAM aus e ^ ^^^^ ^ ^ 

somit gegenuber Manipulat.onen abgesichert. 

Restsummenregister R1 
. Vorgabesummenregister R3 
• Stuckzahlregister R4 
. Maschinennummer Nr. 

rS^SSrr«l.d wie de ande-en Fos.«s,e, 
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mehrfach im NVRAM abspeichert und zu bestimmten 
Ereignissen in dem EEPROM abgespeichert. da dreser 
nur ene begrenzte Anzahl von Speicherzyklen zuiaf3t. 
Die Figur 1 1 zeigt den prinzipiellen Ablaut einer Uber- 
prufung bei eingeschalteter Frankiermaschine. Zur 5 
Laufzeit der Frankiermaschine kann das Mikroprozes- 
sorsystem nach dem gleichen kryptographischen PrCif- 
summenverfahren (Schritt 1027.2) uber den zu 
prufenden Speicherbereich 50a (Schritt 1027.1) den 
MAC (Schritt 1027.4) zu den Zeitpunklen Startsicher- w 
heitsuberprufung 1020, vor jeder Frankierung (Frankier- 
modus 400) und vor jeder Fernwertvorgabe 
(Kommunikationsmodus 300) unter Zuhilfenahme des 
gleichen Geheimschlussels (Block 63, (Schritt 1027.3) 
btlden und diese generierten MAC'S (Schritt 1027.4) mit /5 
dem entnommenen (Schritt 1027.5) MAC (T1) verglei- 
chen im Schritt 1027.6). 

Bei einem negativen Vergleich (Schritt 1027.7) konnen 
dann entsprechende MaBnahmen (Schritt 1030) ergrlf- 
fen werden. die einen weiteren Betrieb der Frankierma- 20 
schine verhindern. 

Die Figur 5 zeigt den Ablaufplan fur einen Frankier- 
modus mit erfindungsgem&B integrierten Prufschritten, 
die vor dem Drucken ausgefuhrt werden. Diese umfas- 
sen ebenfalls die in den Figuren 10 und 1 1 nSher erlSu- 25 
terte Absicherung ausgewShlter Postdatenwerte in 
einer eleklronischen Frankiermaschine mit einem MAC. 

Die Eriauterung der AblSufe nach dem - in der Figur 
5 gezeigten - Frankiermodus erfolgt in Verbindung mit 
dem - In den Figuren 1 . 2 bzw. 3. 4 dargesteltten - Block- 30 
schaftbildern bzw. Abldufen. 

Die Erfindung geht davon aus, daB nach dem Ein- 
schalten automatisch der Postwert im Wertabdruck ent- 
sprechend der letzten Eingabe vor dem Ausschalten 
der Frankiermaschine und das Datum im Tagesstempel 35 
entsprechend dem aktuellem Datum vorgegeben wer- 
den. daB fur den Abdruck die variablen Daten in die 
festen Daten fur den Rahmen und fur alle unverandert 
bleibenden zugehOrigen Daten elektronisch eingebettet 
werden. Diese variablen Daten der Fensterinhalte wer- 40 
den nachfolgend kurz als Fensterdaten und alle festen 
Daten fur den Wertstempel, den Tagesstempel und den 
WerbeWischeestempel als Rahmendaten bezeichnet. 
Die Rahmendaten sind einem ersten Speicherbereich 
eines Nurlesespeichers (ROM), welcher zugleich als 45 
Programmspeicher 1 1 dient. entnehmbar. Die Fenster- 
daten werden einem zweiten Speicherbereich entnom- 
men und entsprechend der Eingabe in 
Speicherbereichen Bj des nichtfluchtigen Arbeitsspei- 
chers 5 gespeichert. Fur eine solche Klischee- und oder so 
Frankierbitdverarbeitung ist ein - in der Fig. 4 gezeigter 
- Schritt 1040 vorgesehen. Dieser Schritt umfaBt eine 
automatische Routine fur den Aufruf von Bildpunktda- 
teien. die Zuordnung und Einbettung von Pixelbitddaten 
der festen und semivariablen sowie variablen Druckbild- 55 
daten. Das zugeh6rige Programm ist im Programm- 
EPROM und/oder im internen OTP-ROM gespeichert. 
Da bis zum Schritt 1040 keine Programmverzweigung 
auf im externen Programm- E PROM gespeicherte Pro- 



grammteile erfolgt. kann keine Manipulation der Druck- 
bilderstellung erfolgen. 

Sie sind den vorgenannten Speichern naturlich auch 
jederzeit wShrend der Laufzeit der Frankiermaschine 
zwecks eines neuen Zusammensetzens zu einer 
Gesamtdarstellung eines Frankierbildes entnehmbar. 
Dabei ist in einer bevorzugten Variante vorgesehen, die 
hexadezimalen Fensterdaten in laufiangencodierter 
Form in die jeweils getrennten Speicherbereiche B-i bis 
84 des nichtfluchtigen Arbeitsspeichers 5a zu ubertra- 
gen und dort abzuspeichern. AuBerdem lauft die Zeit im 
Uhren/ Datums-Baustein 8 stSndig auch bei ausge- 
schalteter Frankiermaschine weiter. Wird also der 
Schritt 401 im Frankiermodus 400 erreicht. wurde ggf. 
auch ohne manuelle bzw. erneute externe Daten-Ein- 
gabe nach dem Einschalten der Frankiermaschine auf 
bereits gespeicherte Daten zuruckgegriffen werden. 
Diese Einstellung betrifft insbesondere die letzte Ein- 
stellung der Frankiermaschine hinsichtlich des Porto- 
wertes. welche im Schritt 209 angezeigt wird. bevor die 
Druckdatenaufbereitung erfolgt Hierbei werden die 
aktuellen variablen Pixelbiiddaten (Datum und Porto- 
wert) in die festen Rahmenpixelbilddaten eingebettet. 
AnschlieBend erfolgt im Schritt 301 des Kommunikati- 
onsmodus 300 bzw. in weiteren Schritten, wie beispiels- 
weise im Schritt 401 des Frankiermodus 400 eine 
Abfrage der Eingabemittel auf eventuelle weitere Einga- 
ben. 

Im Schritt 209 werden die Daten aus den vorge- 
nannten Speicherbereichen entsprechend einer vorbe- 
stimmten Zuordnung zu einem Pixeldruckbild noch vor 
dem Druck zusammengesetzt. Die variable Information 
im dafur vorgesehenen Fenster kSnnen nachtrSglich 
ergSnzt und modifiziert werden. Um Zeit einzusparen. 
werden nur die Teile einer graphischen Darstellung bei 
einer Anderung neu im nichtfluchtigen Arbeitsspeicher 
eingespeichert, die tatsSchlich geSndert werden. Im 
Programmspeicher 1 1 liegt ein erster Speicherbereich 
A (u.a. fur die Daten der konstanten Teile des Frankier- 
bildes) und im Klischee-EPROM liegt ein weiterer Spei- 
cherbereich A^j (fur den WerbeWischeerahmen) vor. 
Die Subspeicherbereiche Aj, A^i sind fOr i = 1 bis m 
Rahmen- oder Fixdaten vorgesehen, wobei ein zuge- 
ordneter Index i den jeweiligen Rahmen kennzeichnet. 
welcher vorzugsweise einer bestimmten Kostenstelle 
zugeordnet ist. Die entsprechende Zuordnung der 
jeweiligen Kostenstelle zu den Rahmendaten wird nach 
dem Einschalten automatisch abgefragt. In einer in der 
EP 658 861 A1 vorgeschlagenen Variante kann nach 
jeder Auswahl eines anwenderspezifischen Klischees 
durch Eingabe einer Klischee-Nummer die Kostenstelle 
automatisch zugeordnet und in den Speicherbereich C 
eingegeben werden. In einer anderen - nicht gezeigten 
- Variante muB nach jedem Einschalten wShrend der 
Startroutine die Kostenstelle erneut in den Speicherbe- 
reich C eingegeben werden. 

Im Charakterspeicher 9 sind alle alphanumerischen 
Zeichen bzw. Symbole pixelweise als binSre Daten 
abgelegt. Die Daten fur alphanumerische Zeichen bzw. 
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Symbole werden im nichtfluchtigen Arbertsspeicher 5 
Slrimiert in Form von Hexadezimalzahlen abgespe. 
S Sobald die Nummer der Kostenstelle e-ngegeben 
im S>eicherbereich C gespeichert vorliegt. werden d e 
tomprimierten Daten aus dem ' 
trtt me des Charawerspeichers 9 .n e-n^f 
ten aufweisendes Druckbild umgewandelt. welches in 
d^mprimierten Form im fIDchtigen Atbertsspecher 7 
nS^S^rt wird. Zur Eriauterung der Ertindung werden 
S*end A^eitsspeicher 7a. 7b und Pixelspe.cher 
7c ven;erxiet. obwoh. es sich hierbe. phys-kahsch vor 
zuasweise urn einen einzigen Speicher handelt. Aus 
SeLberlegungen heraus. werden die wesen«. 
Chen Bilderzeugungsprogrammschntte im .r^emen 
OTP-RAM ablaufen und sind somit nicht man,pul.erbar. 

Die Speiche*ereiche im nichtfluchtigen Arbete- 
speicher 5 k6nnen eine Vielzahl von Subspe.cherbere - 
Sen e^^alten, unter welchen die ieweiligen Daten m 
Dat^Stee gespeichert vorliegen. Die Subspe.chefee- 
S1 sincl Sr i = 1 bis n Fensterdaten vorgesehen, 
.^rschi^iene Zuordnungen ^"^^^^ 
speicherbereichen der verschiedenen Spe-cherbere.- 
Che vorbestimmt gespeichert sind. 

In einem jed^ Datensatz eines Subspeicherbere.- 
chei iXi B. Sind abwechselnd nacheinander Steuer- 
ur^ ' lauflangencodierte Rahmen- bzv. 
?Ssterdaten enthalten. Vor dem Druck werden -m 
^209 aus dem nichtfluchtigen Programmspe.cher 
SsP) 11 die ieweiligen ausgewahlten festen Daten m 

ir2^ Reoteter 701 711, 721 des f luchtigen Arberts- 

Srchi^' a Ob-nommen, wobei wShrend der Uber- 
SmT Steuercodes dekodiert und ^mern 
aSerten Speicherbereich des Arbeitsspe.chers 7b 
gSSSIrtwiden. Ebenso werdendie iewei gen aus^ 

'gXSn Fensterdaten fOr ^^^'f^'^^^'^'^X 

^e^^s^^^eretrirs^^^^ 

-Srers7aTebildettrr^^^^^^^ 

we^en die laufiangencodierten hexadezimalen Daten 
In entsprechendebinare Pixeldaten Qberfuhrt. 

Ertindung besteht weiterhin m emer Durchfuh 
rung von Authentizitatsprufungen im ^'^^^^^^l' 
Druckdateneingabe im Schritt 10^ hir Rahmen 
Ser Fensterdaten waf,rend der Start- und In.t^-- 
s-Sungsroutine 101 und im Schritt 209 fur s.cherherts- 

=LU:S.?^rert^^^^^^^ 

nach e)rternfuhrenden Programmverzwe.gung .m Rah 
S^vorgenannter Systemroutine (200) ""d wobe, be, 
JSeheSder Authentizitat Schritte -^'J-^^'f'JZ 
grammausfuhrung im Rahmen vorgenannter System 
routine (200) durchgefOhrt werden. .^^irH^ 
Die Figur 14 zeigt einen Ablaufplan zur Absiche^ 
rung von sicherheitsrelevanten Daten in einem fre. 



zuganglichen Speicher bei einer elektroni«:hen Fran- 
taermaschine. Im Schritt 209-1 erfolgt eine Emgabe zur 
SeSung von Fensterdaten. Die Bng^; J. 
schritt 209-2 angezeigt und dann auf 
orhritt 209-3 aus einer Anzahl Prufschritten 209 3 Dis 
S9-?2 verz^eigt. Im externen Programmspe^her 
(EPROM) befinden sich beispielsweise auch Druckda- 
en des Wertstempels und andere Daten. wie be,sp.els- 
weise o7des Absenders. Postleitzah; des Absende^ 
uS^ die durch das anhand der Figur l^ j'^uterten 
iS^hren vor Manipulation geschOtzt werden sollen^ 
^eTrSchritte eriauben eine Verzweigung auf iewe.te 
e^en der Schritte 209-4 bis 209-11. falls be- der E.^ 
nXrein anderer Wert, Slogan. Klischee Oder a.^ere 
oSnTusgewahltwurden. Damithatdasbeschr.^ene 
SeTh'en eine ausreichende Sicherhert^ «*>wohl der 
MAC ieweils nur uber den Teilbereich im EPROf^ gebj- 
ist der Daten entsprechend der Auswahl errt^aj- 
AnsSiieBend wi-d Ober einen Schrm 209^0 zur Ruck- 
setzung des Schleifenzahlers auf den Schritt 209 i 
" S'c^erzweigt. Sind alle PrOfschritte ^09-3 J^-s 209;1 2 
ohne Anderung bzw. Auswahl eines ^u^^^^^ 
Daten durchlaufen worden. dann wird der Punkt e 

^""^'^s in EP 0 660 269 A2 mitgeteilte Verfahren^ in 
-.1 Prnnrammes mitteis 



25 Das in EP 0 w>u ''oa »° „ ^itt„|e 

welchem die Uberprufung des Programmes m«ete 

Ml^nu" einma. zu Beginn der 
schine erfolgt, wird eriindungsgemSB durch zusatehcaie 
SJ^erheitsOberprOfungen der einzelnen nacMj^g^ 
30 aeanderten Fensterdaten vertjessert. In vorteilhatter 
E linn nun ein nachtrag.iches Austauschenj^er 
EPROM-Daten wahrend der Laufzeit der in Befr eb 
bShen Frankiermaschine erkannt werden. E.ne 
Mantoltion Oder Unterschieben von man.pul.erten 
ss Sen in dem Moment, wo c«e Daten eingeiesen wer- 
den sollen. wird damit unmSglich gemacht^ 

S^der Figur 15 sind die Schritte 209-10 bzw. 209-1 1 
nahl; ert. Wird keine Neueingabe erkannt (Schrrtt 
2S0 ST"'" schritt 209-20 zuruckverzweigt Vorder 
.0 Sndung des MAC we««en die ^us.*^^^^^^^ 
externen EPROM-Daten vollsiandig m den Spe cher der 
Snkiermaschine geladen (Schntt 2091) ur^ ub^d^e- 
sen RAM-Bereich wird danach e.n MAC g J.ld^ 
r«Vhritt 2092) Dieser MAC wird im Schritt 2094 mii 
« Sem vSechneten MAC (Schritt 2093) verglichea 
STn ieigneter Stelle abgelegt ist. vorzugswe^e irn 
2t^nen EPROM. Der Vorteil dieser Vanante I.egt nun 
S daB ieweils nur solche Daten in der Frantaem^a^ 
Sme veiwendet werden. die die Sicherheitspru ung 
!^ onHpn haben da das von auBen zuganghche 
'eSSm nJt^n^it die Daten fOr die PrOfung und die 
Weiterverarbeitung hietoei nur einmal Qelesen we^jn. 
Sese Vorgehensweise verhindert. daBdie Daten na^ 
traalich manipuliert werden kSnnen (z. B. durch 
55 iSsSalten des externen EPROMs). da zum Bilden 
dS MAC und zur Weiterverarbeitung der Daten diese 

"-r rSm 

rez-MAC. der sich vorzugsweise im externen ROM 
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befindet, negativ aus. so kOnnen geeignete MaBnah- 
men erfolgen. Vorzugsweise wird zwecks Fehleraus- 
wertung und Anzeige Ober den Schritt 209-13 auf den 
Schritt 209-14 verzweigt. 

Im externen EPROM lassen sich die externen s 
Oaten in Speicherberetchen unterteilt nach Datensdt- 
zen abspeichern, die jeweils nicht gleichzeltig in der 
Frankiermaschine benGtlgt werden. Dieses Verfahren 
eriaubt eine Zeitersparnis beim Prufen der externen 
Daten, weil hier nur uber einen Teilbereich ein MAC io 
gebildet und mit dem im EPROM gespeicherten vergll- 
chen werden muB. Der fur die Prufung des MAC in der 
Frankiermaschine benOtigte Speicher wird dadurch ver- 
rlngert. Existieren z. B. fQnf extern e Datenbereiche 
(WerbeWischees, Wahldrucke, o. a.), so braucht bei- 75 
spielsweise nur 1/5 der Gesamtdatenmenge in den 
internen Speicher Obertragen werden (geringerer Spei- 
cherbedarf) und auch fur das Bilden des MAC wird nur 
ca. 1/5 der Zeit bendtigt. Uber alle vrer ntcht benbtigten 
Datenbereiche braucht also keine Prufung zu erfolgen. 20 
Je nach Anzahl der abzusichernden Datenbereiche 
befindet sich die gteiche Anzahl an Referenz-MACs 
auch im externen Speicher (EPROM bzw. ROM). 

In anderen Varianten k6nnen sich die MACs auch 
im NV-RAM der Frankiermaschine Oder sogar im inter- 25 
nen ROM der Frankiermaschine befinden. Werden die 
MACs im internen NV-RAM abgelegt. so hat dies auch 
den Vorteil. daB man auch ein nicht abgesichertes 
externes EPROM bzw. ROM durch Eingabe eines 
Codes in die Frankiermaschine authorisiert Dadurch 30 
brauchen bei der Erzeugung der externen ROMs keine 
festen Schlussel eingesetzt zu werden. jede Frankier- 
maschine kann uber einen eigenen Schlusset fur das 
Erzeugen der MACs verfugen. 

Die Sicherheit dieses neuen Verfahrens beruht nun 35 
darauf, daB sich im internen OTP- ROM der Frankierma- 
schine ein Oder mehrere unzug^ngliche Verfahren (z. B. 
DES) und/oder ein Oder mehrere unzugangllche 
Schlussel befinden. die fur das Bilden des MAC heran- 
gezogen werden. Die selben Schlussel bzw. die selben 40 
Verfahren sind auch fur die Im ROM gespeicherten 
MACs bei der Erstellung des ROMs verwendet word en. 

Bei der Verwendung dieses Verfahrens fur die Absi- 
cherung von komprimierten Klischeedaten wird der 
MAC uber die entpackten Daten im RAM gebildet. 45 
Dadurch erreicht man eine zusdtzliche Speicherplatzer- 
sparnis, da komprimierte und entkomprlmierte Daten 
nicht gleichzeitig im Speicher der Frankiermaschine 
abgelegt werden mussen. 

In einer anderen Variante k6nnen die externen so 
Daten auch unkomprimiert vorliegen, wobei die Daten 
dann in den internen Speicher direkt ubernommen wer- 
den und dann uber den internen Speicher Oder Teile 
davon der MAC gebildet wird. Die separate Absiche- 
rung der einzelnen Ktischeeteile hat daruberhinaus den 55 
Vorteil, daB der Zeitbedarf fur das Prufen des MAC 
beim Anwahlen eines Klischees gering bleibt, da immer 
nur die Klischeeteile gepriift werden, die gerade bend- 
tigt werden. Fur die Prufung der Daten in einem Kli- 



scheespeicher (z. B, ROM) ist daher nicht nur ein MAC 
vorgesehen, sondern jedes Einzelklischee (Werbekli- 
schee, Wahldrucke bzw. Slogan oder andere Teile, wie 
beispielsweise die "Entgelt bezahit"- Leiste) besitzt 
einen eigenen MAC. 

Neben Klischeedaten lassen sich auch andere in 
die Frankiermaschine einzubringende Daten durch die- 
ses Verfahren absichern. Diese Daten kCnnen sich 
dabei in einem externen ROM. in einem externen RAM. 
in einem externen NV-RAM, auch auf einer Chipkarte 
Oder auch in einer Kombination der vorgenannten befin- 
den. Die Prufung erfolgt dabei wiederum erst nach der 
Ubertragung der Daten in den internen Speicher der 
Frankiermaschine. 

Werden im Schritt 209-11 festgestellt, daB die 
MACs nichrt identisch sind so kann wie im vorliegenden 
Fall im Schritt 209-14 der Fehler zur Anzeige gebracht 
werden und die Maschine daraufhin blockieren. Eine 
andere Moglichkeit, z. B. beim Absichern von Klischee- 
daten besteht darin. ein Standardklischee fur diesen 
Fall zu drucken, welches auf eine Manipulation hin- 
weist. Dabei kann dieses Klischee an Stelle des mani- 
pulierten Klischees Oder zusdtzlich gedruckt werden. 
Es ist auch mSglich, ein anderes Klischee (z.B. Datum, 
Wert) so zu verSndern, daB eine Manipulation erkenn- 
bar ist. 

Die einmal aufgerufenen konstanten Teile des 
Frankierbildes stehen im Pixelspeicherbereich I im 
fluchtigen Pixelspeicher 7c stSndig dekodiert zur Verfu- 
gung. Fur eine schnelle Anderung der Fensterdaten, 
existiert ein zweiter Speicherbereich B im nichtfluchti- 
gen /^eitsspeicher 5. 

Die Zahlenketten (sTrings), die fur die Erzeugung 
der Eingabedaten mit einer Tastatur 2 oder aber uber 
eine an die Ein/Ausgabeeinrichtung 4 angeschlossene, 
den Portowert err^hnende, elektronische Waage 22 
eingegeben werden, werden automatisch im Speicher- 
bereich D des nichtfluchtigen Arbeitsspeichers 5 
gespeichert. AuBerdem bleiben auch Datensatze der 
Subspeicherbereiche, zum Beispiel Bj, C usw.. erhalten. 
Damit ist gesichert, daB die letzten Eingabegr6Ben 
auch beim Ausschalten der Frankiermaschine erhalten 
t»leiben, so daB nach dem Einschalten automatisch der 
Portowert im Wertabdruck entsprechend der letzten 
Eingabe vor dem Ausschalten der Frankiermaschine 
und das Datum im Tagesstempel entsprechend dem 
aktuellem Datum vorgegeben wird. Ist eine Waage 22 
angeschlossen, wird der Portowert aus dem Speicher- 
bereich D entnommen. Im Schritt 401 wird gepruft, ob 
eine Eingabe vorliegt. Bei einer erneuten Eingabeanfor- 
derung im Schritt 401 wird auf den Schritt 209 zuriick- 
verzweigt. 

And er entails wird uber die Schritte 402 und 404 zur 
Erhohung eines Durchlaufz^hlers und zur Prufung der 
Anzahl an Durchldufen auf den Schritt 405 verzweigt, 
um die Druckausgabeanforderung abzuwarten. Durch 
einen Briefsensor wird der zu frankierende Brief detek- 
tiert und damit eine Druckanforderung ausgelGst. Somit 
kann auf die /\brechnungs- und Druckroutine im Schritt 
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406 verzweigt werden. Liegt keine Druckausgabeanlor- 
i^ng'schritt 405) vor, wird zum Schritt 209 (Punkt t) 
zuruckverzweigt. 

Wenn nach der - in der Figur 5 dargestellten - 

z^igt und der Schritt 301 erreicht w.rd kann jederzert 
eTn Kor^munikationsersucher. gesteltt oder e,ne andere 
Einaabe gemSB den Schritten zum Datenwechsel 209. 
Snfordemng 212, RegisterprOfung 2U sow.e E.n- 

gSicKderung 401 -^-^t^- ^^^n2h ^ur 

5? Schrrtte 401 bis 404. wie bei Var.ante nach F^^^^^ 
5 aezeigt durchlaufen. Bei einer vorbestimmten Anzahl 
an Durch aufen wird vom Schritt 404 auf den Schntt 408 
JeSr Das alternatives Abfragekriterium tenn .m 
ShrS)4 abgefragt werden. urn im Schritt 408 em 
SI^L Rag?u seuen, wenn nach einer vorbesfmrn. 
fSfnoch keine Druckausgabeanfo^lerung x«.rl.egt 
>SL bereits oben eriautert. kann das Standby-Flag .rn 
rjden Smmunikationsmodus 300 folgenden Schrm 
l1^ Mag^ werden. Damit wird nicht auf den Fran- 
WerrSi 400 verzweigt, bevor nicht die Checksum- 
die Vollzahllgkei. aller oder n^ndestens 
ausgewahlter Programme ergeben hat. 

Falls eine Druckausgabeanforderung .m Schntt 405 
erkamt wird. werden weitere Abfragen m den nachfol_ 
gS Sch'rmen 409 ""^ 410 sc^ie n^^^^^^^^ 
Qetatigt. Beispielsweise werden im Schntt -WS das yor 
Ta^^ein Tuthentischer Registen^ertB F.gJ l^unj 
im Schritt 410 das Erreichen eines weiteren Stuckzani 
l^rtSSm und im Schritt 406 die in bekannten We.se zur 
rSn^ eingezogenen ^^egiste^f - 
AuBerdem wird. wie bereits ^"'^^'^^.^^^V'^'^^r ° , ^u 
tPrt eine Absicherung ausgewahlter Register im 
mnm de. FranWermaschine durch MAC-B;Wun9 
drhoeiuhrt War die zum FranWeren vorbest.mmte 
sSahl bei der vorhergehenden Frankierung ver^ 
bS d.h. Stockzahl gleich Nu«. wird vom Schrrtt 410 
aSoma isch zum Punkt e verzweigt. um .n den Kommu- 
nSsmodus 300 einzutreten, damit von der DjUen- 
zentrale eine neue vorbestimmte Stuckzahl S w^e 
jSert wird. War iedoch die ^'o^^^-f.^^f 
noch nicht verbraucm. wird ^om Schntt 410 auf die 
J^echnungs- und Druckroutine im Schntt 406 ver 
S spezieller Sleeping-Mode-Zahler w,rd .m 
SS 4oT dt wahrend der unmrttelbar vor dem Dmck 
SSgendenAbrechnungsroutneveranlaBt.e.nenZ^^^ 

r^r-r^rarrtrr^^^^ 

tregiSern werden entsprechend der eingeg^enen 
Kosteritelle in nichtfluchtigen Sp«chern ^. 5b de 
Frankiermaschine in der Abrechnungsroutne 406 reg 
striert und stehen tar eine spatere Auswertung zur Ver 

''^"S Registenwerte kSnnen bei Bedarf im Anzeige- 
modS^aif^ gefragt warden. Es ist ebenfalls vorgese- 
^^ie ReSen^erte oder andere Servicedaten mrt 
Sfm DruckkSpf der FrankiermascNne - Abredm.ngs- 
oder Kontrollzwecken auszudrucken. Das ka"" ^e. 
S llsw^ise ebenso eriolgen, wie das normale Drucken 



des Frankierbildes wobei jedoch anfangs ^^ f^^'^ 
R^hmen fur fixe Bilddaten gewahlt -^d m wetehe d^ 
variablen Daten entsprechend den im nichtfluchtigen 
SDSter NVM 5 bzw. im Kostenstellenspeicher gesp«- 
. Sn Registerwerten eingefugt werden. ahnlich w.e 
' das bTrerts in den Spatten 1 bis 2 b-^f^ '^"JP^^f 
in der deutschen Oflenlegungsschnft DE 42 24 955 fur 
die Bildung und Darstellung in drei n^e^^'^eiligen Into - 
JitcTiruppen bzw. fOr eine ertorderliche UmscM- 
„ C m ^nen entsprechenden Modus pnnzipi^l 
ausaefOhrt wird. Wird eine gedrehte Darstellung ve^ 
ra:TJinLentgegenden^^^^^^^^^^ 
der deutschen Offenlegungsschnft DE 42 2* 9=5 at^ 

dS oaten bereits im ^^^^'^^-'^^.^Z<^'^Z 
« aedreht abgelegt werden. wie s.e fur den Df^c"^ 
" w7rien Die zeitaufwendige Routine des Drehens der 
o'c^aten ,^rd nur einmalig fOr ^-^^^^^^l^^ 
punktdatei bei der Programmierung des EPfO^s b«m 
Hersteller durchgefuhrt. was nur mehr Speicherplau 
eSdert aber keine erh6hte Rechenlestung m der 
FranWermaschine bindet. 

ES fet bei einer anderen Variante «e'*«^J" ^^J.^^ ."^ 
h»n daB auch variable Pixelbilddaten wahrend des 
TJ:^ .n"e CbTigen P«*-dda^-'X'^^^^^^ 
25 den. Entsprechend der vom Encoder S^JfJ^^J 
Positionsmeldung Ober den Vorschub der Po^u^^es 
bzw. Papierstreifens in Relation zum D^""^"^"' . 
werden die komprimierlen Daten aus den ArtDeitesp^ 
^^^5° 5b geiesen und mit Hilfe des Charakterspa- 
,0 SerS Ifn eJi brnare Pixeldaten aufweisendes Druckbild 
" ?mge!^ndSi^e.ches ebenfalls msolc^^^^^ 

mierten Form im flOchtigen Arbeitsspeicher 7 gespa 
d^ert wird. Nahere Ausfuhrungen sind den 
fJopaischen Anmeldungen EP 576 113 A2 und EP 
35 578 042 A2 entnehmbar. 

Der P,xelspeiche*ereich im Pixel-Speiche 7c .st 
alsolv die aSgewahlten dekomprimierten Daten der 
S^Teile de^Fran^erbiWes und ^^^.^^J^^^^^ 
ten dekomprimierten Daten der ^anablen Teile des 
40 Fran^erbSes vorgesehen. Nach der Abrechnung 
erfolgt die eigentliche Druckroutine (im Schritt 40^ 
"^ L aus der Figur 1 ^^ervorgeht stehen der 
speicher 7b und der Pixelspeicher 7c mit dem Draper 
Jodul 1 Ober eine ein Druckregister (PReg) ^ ^ ""d f^ne 
.5 AuSiabelogik aulweisende Druckersteuerung 14 in Ver 
St Der Pixelspeicher 7c ist ausgangsse.tig an 
enen ersten Eingang der Druckersteuerung 14 
oILialteTan der«i weiteren Steuereingangen Aus^ 
'gfnrssjnale der Mikroprozessorsteuereinrichtung 6 

'"'Td alle Spatten eines Druckbildes gedruckt wor- 
den, wird wieder zur Systemroutine 200 zurudo^er- 

" teim Obergang in die Systemroutine 200 wird ; wie 
55 in der Figur 3 dargestellt - nach emem weiteren Schrrtt 
20Wum Datenaufruf, insbesondere von Sleep^ng- 
Mode-Stuckzahldaten, zunachst .m Schritt 202 i±.er 
nruft ob die Kriterien fur den Eintritt ,n den Seeping 
Ke erfullt sind. 1st das der Fall wird zum Schritt 203 
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verzweigt, um mindestens eine Warnung mittels der 
Anzeigeeinheit 3 anzuzeigen. Dabei kdnnen weitere 
Schritte 204 bis 206 durchlaufen werden, bevor zum 
Schritt 209 verzweigt wird. 1st das aber nicht der Fall 
wird ebenfalls zum Schritt 209 verzweigt, Nach den 5 
Schritten wird in jedem Fall der Punkt t erreicht. 

Nach erfolgter Neueingabe und Elngabe/Anzeige- 
Routine mit Druckdatenzusammenstellung und Aufruf 
der erforderlichen Bildpunktdateien im Schritt 209. wird 
unter der Voraussetzung. da6 keine retevante Mangel 10 
festgestellt wurden, nun der Punkt e, d. h. der Beginn 
eines Kommunikationsmodus 300 erreicht. Dazu wird in 
einem Schritt 301 abgefragt, ob ein Transaktionsersu- 
chen vorliegt. 1st das nicht der Fall, wird der Kommuni- 
kationsmodus 300 verlassen und der Punkt f, d.h. der is 
Betriebsmodus 290 erreicht. Wurden relevante Daten 
im Kommunikationsmodus ubermittelt. dann ist zur 
Datenauswertung auf den Schritt 213 zu verzweigen. 
Oder anderenfalls, wenn im Schritt 211 die Nichtuber- 
mittlung festgestellt wird, ist auf den Schritt 212 zu ver- 20 
zweigen. Nun wird uberpruft, ob entsprechende 
Eingaben getstigt worden sind. um bei Testanforderung 
212 in den Testmodus 216. anderenfalls um bet beab- 
sichtigter Registerstanduberprufung 214 in einen 
Anzeigemodus 215 zu gelangen. Ist das nicht der Fall. 25 
wird automatisch der Punkt d. d.h. der Frankiermodus 
400 erreicht. 

ErfindungsgemSB ist weiterhin vorgesehen. da3 im 
Schritt 213 eine Statistik- und/oder Fehlerauswertung 
durchgefuhrt wird. um weitere aktuelle Daten zu gewin- 30 
nen. welche nach Verzweigung zur Systemroutine 200 
in Schritt 201 ebenfalls aufrufbar sind. 
Wird der Punkt e, d.h. der Beginn des nachfolgend 
eriauterten Kommunikationsmodus 300 erreicht, wird 
im Schritt 301 abgefragt ob ein Transaktionsersuchen 35 
vorliegt. Ein solches kann beispielsweise zur Guthaben- 
und Stuckzahlnachladung oder Aktualisierung anderer 
relevanter Daten gestellt werden. 

Der Benutzer wShlt den Kommunikations- bzw. 
Fernwertvorgabemodus der Frankiermaschine uber die 4o 
Eingabeder Identifikationsnummer (achtstelligen Porto- 
abrufnummer) und uber die BetStigung der vorbestimm- 
ten T-Taste an. Ist der gewCinschte Eingabeparameter 
richtig angezeigt. wird dies durch erneutes BetStigen 
der vorbestimmten T-Taste des Eingabemittels 2 bests- 45 
tigt. Der Eingabeparameter wird bei Bedarf edrtiert. in 
der Anzeigeeinheit 3 erscheint dann eine Darstellung 
entsprechend der Eingabe. 

Durch BetStigung der vorbestimmten T-Taste wird 
die Ubertragung des Eingabeparameters uber so 
MODEM-Verbindung gestartet und die Eingabe uber- 
pruft. Der weitere Vorgang lauft automatisch ab, wobei 
der Abtauf durch eine entsprechende Anzeige begleitet 
wird. 

Dazu pruft die Frankiermaschine, ob ein MODEM 55 
angeschlossen und betriebsbereit ist. tst das nicht der 
Fall, wird auf den Schritt 310 verzweigt. um anzuzeigen, 
da3 das Transaktionsersuchen wiederholt werden mufB. 
Anderenfalls liest die Frankiermaschine die Wahlpara- 



meter, bestehend aus den Herauswahlparametern 
(Haupt-/Nebenstelle. usw.) und der Telefonnummer aus 
einem NVRAM-Speicherbereich F und sendet diese mit 
einem Wahlaufforderungskommando an das Modem 
23. AnschlieBend erfolgt der fur die Kommunikation 
erforderliche Verbindungsaufbau uber das MODEM 23 
mit der Datenzentrale Nach einer vorbestimmten 
Anzahl n ergebnisloser Wahlwiederholungen zwecks 
Verbindungsaufbau wird iiber einen Anzeigeschritt 310 
auf den Punkt e zurOckverzweigt. 
Es ist vorgesehen. daB eine wShrend der Kommunika- 
tion mit verschlusselten Meldungen durchgefuhrte 
Transaktion einen Vorgabewert fur einen Guthaben- 
nachladewert umfaBt, welcherder entfernten Datenzen- 
trale ubermittelt wird und/oder daB eine andere 
wahrend der Kommunikation mit verschlusselten Mel- 
dungen durchgefuhrte Transaktion eine spezifische 
Stuckzahl S' fur einen Sleeping-Mode umfaBi 

Eines der Transaktionsersuchen fuhrt in der Fran- 
kiermaschine zu einer speziell gesicherten Guthaben- 
nachladung. Vorzugsweise erlolgt ein Absichern der 
auBerhalb des Prozessors im Kostenstellenspeicher 
vorliegenden Postregister auBerdem wShrend der Gut- 
habennachladung mittels einer Zeitsteuerung. Wird die 
Frankiermaschine beispielsweise mit einem Emula- 
tor/Debugger observiert, dann ist es wahrscheinlich, 
daB die Kommunikations- und Abrechnungsroutinen 
nicht innerhalb einer vorbestimmten Zeit ablaufen. Ist 
das der Fall, d.h. die Routinen bendtigen erheblich mehr 
Zeit. wurde dies in der Frankiermaschine erkannt und 
als Fotge werden kritisohe Speicherbereiche unwieder- 
bringlich gelOscht. Damit wird die Frankiermaschine am 
Weiterbetrieb gehindert. 

Fur die Ubermittlung der fur eine Guthaben- 
und/oder Stuckzahlnachladung erforderlichen Daten 
sind relevante Schlussel (Krypto-Keys) erforderlich, 
welche im Speicher in kryptif izierter Form atjgelegt wor- 
den sind. Das Prinzip des Sicherungskonzeptes ist in 
den Figuren 12 und 13 dargestellt. 

Vorzugsweise erfolgt eine Anwendung der DES- 
Algorithmus auf die fur die Fernwertvorgabe benOtigten 
Schlussel. um diese in kryptif izierter Form abzulegen. 
Die Datenubertragung der Frankiermaschine zur 
Datenzentrale wird im Kommunikationsmodus 300 
ebenfalls mit DES-Algorithmus abgesichert, wofur ein 
geheimer DES-Schlussel ben6tigt wird. Dieser geheime 
DES-Schlussel wird im Kommunikationsmodus 300 
gebildet, indem die verschlusselten Schlussel wShrend 
der Laufzeit der Frankiermaschine. d.h. wdhrend des 
Kommunikationsmodus 300 im OTP entschlCisselt wer- 
den, um einen geheimen Schlussel KAct in den inter- 
nen OTP-RAM zu laden. 

Die Figur 12 zeigt die Eingabeverschlusselung des 
Fernwertvorgabe DES-Schlussels Kpi^ zur Absicherung 
des Fernwertvorgabe DES-Schlussels Kf,x. vor Manipu- 
lation. 

Bei der Herstellung oder durch den Service-Techni- 
ker erhait jede Frankirmaschine iiber ihr Userinterface 
2. 3 einen festen FernwertvorgabeschlCissel Kpi^, der 
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prinzipiell verborgen im NVRAM sehalten werden muB^ 
DafOr wird der Fernwertvorgabeschliissel Schrm 60 

Standard (DES). unter Ve^/endung des .m OTP ROM 
(Schritt 64) gespeicherten Geheimschlussels ^jx ver 
schlusselt Der verschlusselte Geheimschlussel Kp^ 
S Sn im externen Datenspeicher (NVRAM) abge- 

leot 

in der Figur 13 ist dargestellt, welche Schrftte zur 
Laufeeit der Frankiermaschine fiir eine Fernwertvor- 
Se durchgefuhrt werden mQssen. damit aus dem ver- 
Soie J Kp.-Wert im externen NVRAM der DES- 
Schiossel KAct gebildet wird. der lur die Zeit der Fern 
we^Srargabeprozedur im prozessor.nternen RAM 
gSeS wird. Der Geheimschlussel K w.rd^^^^^^ 
rmernen OTP-ROM (Block 64) und verschlusselte 
SSsel Crypt K,;. wird dem NVRAM entaommen De 
aock 60 der Figur 13 zeigt die E'^=^'^'"^^;J""9 
SchlOssels Kf,x und e.ne Speicherung .m .ntemen OTP 
RAM fur die Fernwertvorgabe im Block 6&. 

Dte Frankiermaschine fOhrt regelmaB.g und/cder 
b«m Einschalten den Registercheck durch u^ kann 
somit die fehlende Informabon erkennen. ^''s die 
Machine unautorisiert ge61fnet worden war. D.e Ran- 
kiermaschine wird dann blocWert 

^fpotenlielle Manipulator einer Frankiermasch.ne 
muB mehrere Schwellen Qberwinden, was naturhch 
S en ge^ssen ZeitauK^and ^arf. ^J^^' J S^^^ 
Zeitabstanden keine Verbindungsaufnahme von der 
Frankiermaschine zur Datenzentrale. wird d.e Frantaer- 
^chine bereits suspekt. Es ist dabei davon auszuge- 
hen. daB derjenige, der eine Manipulation an de 
Frankiermaschine begeht, sich kaum w-eder be. der 

Datenzentrale melden wird. tA,^r^rr.yo^. 

Die Steuereinrichtung 6 weist e.nen M.kroproz^ 
«,r Oder einen OTP aut. Im OTP sind neben e.nem 
SLrS^essc; auch nichtriOch.ge Speicher und ^^^^^^^ 
tere Schaltungen in einem gemeinsamen Gehause 
umergSicht' Der interne nichtiluchtige Spe-^er 
umteBt beispielsweise Programmspeicher und .nsbe- 
SSe au* die MOglichkeit Sicherungsbits zu seuen, 
r S ^slesen des Intemen nichtllOchtigen Spe.- 
cher^Ton auBen verhindem. Diese Sicherungsb-ls wer- 
SrwSrend der Herst^lung der f-n^e™;-!;^^^^^^^ 
OTP gesetzt. Das Observieren solcher s.cherhertsrele 
° nte? Routinen. wie beispielsweise At-f ►^"""S^IJ^^^ 
nen. m.t einem Emulator/ Debugger wurde ebenfaUs zu 
Tern veranderten Zeitablauf fuhren, was durch den 
S?P leststellbar ist. Dieser umtaBt auch e.ne Tak^^^^^^ 
ber/Zahler-Schaltung lur die Vorgabe von Zeitinterva - 
S^Tzw TakUyWen beispielsweise tar die T.me-ou^^ 
Generierung oder Druckersteuerung. Wenn e.ne 

Ze« abgelauten ist ^^^^^t^l^^^^Z- 
nis nicht eingetreten ist. wird vomder Taktgeber/Zahier 
ShXng eS^ interrupt generiert, der dem Mikroproz^- 
2r den ergebnislosen Ablaul der Zeitspanne melde , 
S,ra.;hin der MiKroprozessor wertere Ma«^ 
anIaBt ErfindungsgemaB w.rd die Taktgeber/Zahier 
Shalr^Tr eine Programmlaufzeituben«achung e.n 



cesetzt Dabei wird von einer bekannten Anzahl von 
TaktzvWen f Qr den ProgrammaWauf von vorbestmmten 
SSa" mteiien ausgegangen. Vor dem S^rt cler Rou^ 
tin?wird der Zahler der Taktgeber/Zahler-Schaltung .n 
, voLstimmter Weise voreingeslelltbzw. ^uruckge«e1zt. 
' Nach dem Start der Programmroutine w.rd entspre- 
chend den Taktimpulsen des Taktgebers der Zahlers 
tend laufend verandert. Nach Abarbertung de 
Sitschen vorbestimmten Programmteile w.rd de 
„ zSd des zahlers vom Mikroprozessor abge^ragt 
mit dem en«artelen V^ert verglichen. Be.m Uber- 
schreiten einer vorbestimmten Abweichung '"der Lai^- 
Sn^rtischer bzw. sicherheitsrelevanter Programnje-le 
kann die Frankiermaschine somit nicht water ^un^ Fran- 
„ S^^^n betrieben werden (Kill Mode 1). Nimml e.n Man. 
pulator einen unautorisierten Eingnff vor w.rd d.e 
F^nkiermaschine w^hrend der Lautze,t durch das 
OberfOhren in den ersten Modus w.rksam auBer Betr.eb 

gesetzt. , 

Bei einer Inspektion werden die R^gisterstar^e 
uberpruft. Bei Bedarf kann ein Probeabdrud. mrt dern 
Wert O gemacht werden. Bei einer Reparatur durch den 
Sen/ice vor Ort muB eventuell in die Rank,errnasct.ne 
eingeghffen werden. Die Fehlerr^ister -"d be|sp.e^s- 
2s weise mit Hilfe eines speziellen Serv.ce-E PROM aus 
^bar welches an die Stelle des Advert-EPROM 
g^Te^ wird. wenn auf diesen EPROM-StecMatz 
S^ozessor nicht zugegriifen wird. wird gew6hnl.ch 
erzugriff aul die Datenleitungen durdn spez.elle_.r^ 
30 der Figur 2 dargestellte - Treiberschaltkre.se (Buffer) 
ve hirSert. Die Datenlertungen, welche •^-er durch e-ne 
rrersiegelte GehausetOr erreichbar s.nd. kbnnen 
S S unbefugt kontaktiert werden. Eine andere 
Variante ist das Auslesen von Fehlerreg.sterdaten 
35 dS einS uber eine Schnittstelle angeschlossenen 
Se^ce Smputer. wobei die Schnittstelle dann ent- 
sprechende SicherhertsmaBnahmen aufweisen muS _ 

Es ist auBerdem auch in Zeiten .n welchen nicht 
gedruckt wird (Standby Modus) >'°f9«=«^«"- f ^ J '?! 
40 Abfrage hinsichtlich Manipulationsveraichen ertol^ 
und/ Oder die Checksumme der Begistetstande 
und/oder Ober den Inhalt des Programmspe.cfiers PSP 
lT^2rWetwirdZurVe,besserungderManipulat.on^^ 

^ r sfp^ r "dr^ar des^r: 

- rg:rmrZ.eS:rsPSP11g^.detundd^^^^^^^^^ 
mit einem im OTP gespeicherten ^°*«sbmmten We t 
verglichen. Dies eriolgt vorzugsweise "".S^hntt Oi^ 
wenn die Frankiermaschine gestartet w,rd. ^er im 
so Schritt 213. wenn die Frankiermaschine im Standby 
Sus beirieben wird. Der Standby-Modus w.rd 
erreicht. wenn eine vorbestimmte Zeit ke-ne E-ng^e. 
bzw. Druckantorderung eriolgt. Let^teres ist der Fa 1. 
v^nn ein an sich bekannter - nicht f 1^^^ dar^e^ 
55 Briefsensor keinen nachsten Br.efumschlag erm.ttell 
welcher frankiert werden soil. Der J" der Rgu^ 5 
aezeigte - Schritt 405 im Frankiermodus 40O umfaBt 
Sr noch eine weitere Abfrage nach einem Zerta^^^^^ 
welche bei Zeituberschreitung letzlendlich wieder auf 
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den Punkt t und damit auf die Eingaberoutine gemdB 
Schritt 209 fuhrt. Wird das Abfragekriterium erfullt, wird 
wie im Schritt 408 ein Standby-Flag gesetzt und direkt 
auf den Punkt s zur Systemroutine 200 oder zum Punkl 
t zuruckverzweigt, ohne daB die Abrechnungs- und s 
Druckroutine im Schritt 406 durchlaufen wird. Das 
Standby-Flag wird spater inn Schritt 211 abgefragt und 
nach der Checksunnmenprufung im Schritt 213 zuruck- 
gesetzt, fails kein Manipulatlonsversuch erkannt wird. 

Das Abfragekriterium in Schritt 211 wird dazu um io 
die Frage enweitert, ob das Standby-Flag gesetzt ist, 
d.h. ob der Standby Modus erreicht ist In diesem Fall 
wird ebenfalls auf den Schritt 213 verzweigt. Der Vorteil 
dieses Verfahrens in Verbindung mit dem ersten Modus 
besteht darin, da3 der Manipulationsversuch statistisch 75 
im Schritt 213 erfaBt wird. 

Um die SIcherheit gegenuber Manipulationen wei- 
ter zu erhohen wird erfindungsgemSB eine FluBkon- 
trolle (Flow Control) eingesetzt, welche nachfolgend 
erlSutert wird. Eine solche Flow Control erfolgt durch 20 
VerSndem eines Z^hlwertes in einem Speicher an min- 
destens einem Punkt wShrend der Ausfuhrung der Pro- 
grammroutine. Nach Ausfuhrung der Programmroutine 
wird der verSnderte Zahlwert mit einem dieser Pro- 
grammroutine zugeordneten vorbestimmten ZShlwert 25 
verg lichen. Werden nun wahrend der Programmausfuh- 
rung Verzweigungen durchlaufen. so kCnnen sich unter- 
schiedliche Zdhiwerte ergeben. In einer nachfolgenden 
Auswertung wird ein Piausibllitdtstest durchgefuhrt bzw. 
es kann festgestellt werden, welche Verzweigungen 30 
durchlaufen warden. Das ist dadurch mGglich, da die 
VerSnderung des ZShlwertes durch eine Multiplikation 
mit einer bestimmten dem jeweiligen Programmteil 
zugeordneten Primzahl erfolgt. Bei einer spSteren Aus- 
wertung muB dann lediglich eine Primzahlzerlegung 35 
durchgefuhrt werden. 

In einer anderen Variante, wo nur solche Pro- 
gramnrrteile ohne Verzweigungen berucksichtigt werden 
bzw. keine Ruckverfolgung der durchlaufenen Pro- 
grammzweige erforderlich wird. ist ein Inkrementieren 40 
des Zahlwertes und abschlieBender Vergleich mit min- 
destens einem vorbestimmten Zahlwert ausreichend. 

Der in der Figur 3 dargestellte Gesamtablaufplan 
fur ein Sicherheitssystem weist Schritte 201 bis 206 fur 
eine Oberwachung weiterer Kriterien auf. Bei einer Ver- 45 
letzung eines der Sicherheitskriterlen tritt die Frankier- 
maschine in einen Sleeping-Modus ein. beispielsweise, 
wenn nach Verbrauch einer vorbestimmten Stuckzahl 
noch keine Verbindung zur Datenzentrale aufgenom- 
men wurde. 50 

Die Frankiermaschine und die Datenzentrale ver- 
abreden jeweils eine vorbestimmte Stuckzahl S, d.h. die 
Menge. die bis zur nSchsten Verbindungsaufnahme 
frankiert werden kann. Falls eine Kommunikation nicht 
zustande kommt (Stuckzahlkontrolle). verlangsamt die ss 
Frankiermaschine ihre Arbeitsweise (Sleeping Modus- 
Variante 1). 

Eine andere Variante gibt eine stdndige Warnung 
fur ein bevorstehendes Schlafenlegen der Frapkierfunk- 



tion im Schritt 203 aus. wobei dieser nun aufgrund des 
erfullten Abfragekriteriums in Schritt 202 stSndig durch- 
laufen werden muB, bevor Schritt 205 erreicht wird. Es 
ist weiterhin vorgesehen, daB der Schritt 203 einen 
Subschritt zur Fehlerstatistik entsprechend dem Stati- 
stik- und Fehlerauswertungsmodus213 umfaBt. 

Die Frankiermaschine verlangt in der aus US 3 255 
439 bekannten Weise eine Verbindung zur Datenzen- 
trale. Kommt die Verbindung zustande, pruft die Daten- 
zentrale die Registerstdnde. Falls die Nachladung nicht 
vorgenommen werden kann. hindert die Datenzentrale 
durch ein zur Frankiermaschine ubermitteltes Signal 
diese am weiteren Betrieb. Wenn die Verbindung kurz 
nach der von der Frankiermaschine vorgenommenen 
Signalisierung zustande kam und die Registerstande 
nicht bemangelt werden. kann die Frankiermaschine 
ohne eine weitere auBerordentliche Inspektion in den 
Betriebsmodus zuruckgeschaltet werden. Hierzu wer- 
den neue aktuelle Daten beispielsweise fur ein Gutha- 
ben und fur die eriaubte Stuckzahl ubermittelt, welche 
bis zur ncLChsten Verbindungsaufnahme frankiert wer- 
den kann. 

Die Datenzentrale kann aufgrund des Cibermittelten 
Signalisierungscodes zwischen automatisch vorgenom- 
mener und normaler Kommunikation unterscheiden. 
Erstere wird immer dann erfolgen, wenn der Nutzer der 
Frankiermaschine die Aufforderungen zur Kommunika- 
tion ubersehen bzw. ignoriert hat und entsprechende 
Eingabehandlungen unterlSBt. Hierbei kann im Wieder- 
holungsfall bei einem Verdacht einer Manipulation eine 
Sonderinspektion angeordnet werden. 

Vom Frankiermodus kann danrt direkt auf den Kom- 
munikationsmodus 300 Punkt e zuruckverzweigt wer- 
den. Damit kennen weiterhin auch andere Eingaben, 
beispielsweise gemdB den Schritten Testanforderung 
212 Oder Registercheck 214 getatigt werden. Nur falls 
auf den Frankiermodus 400 verzweigt wird. wird dann 
im Schritt 410 entsprechend dem Entscheidungskrite- 
rium erneut festgestellt. ob eine automatische Kommu- 
nikation erforderlich ist. Das ist vorzugsweise der Fall, 
falls die vortjestimmte Stuckzahl verbraucht ist. 

War die Kommunikation erfolgreich und wurden 
Daten ubermittelt (im Schritt 21 1 abgefragt), wird eben- 
falls der Schritt 213 erreicht. Im Schritt 213 werden die 
akluellen Daten ermittelt bzw. geladen. welche im 
Schritt 201 aufgerufen und anschlieBend wieder beim 
Vergleich im Schritt 202 bendtigt werden. Das iibermit- 
telte Entscheidungskriterium ist vorzugsweise die neue 
Stuckzahl S\ 

Eine alternative Variante besteht darin. daB das 
Entscheidungskriterium das neue zum Frankieren uber- 
mittelte Guthaben ist und im Auswertemodus 213 die 
neue Stuckzahl S' intern in der Frankiermaschine ermit- 
telt wird. Die Kommunikation mit der Datenzentrale 
umfaBt in diesem Fall nicht mehr die neue Stuckzahl S', 
sondern ist lediglich zur AuslSsung der Berechnung im 
Auswertemodus 213 erforderlich. Die Berechnung 
erfolgt intern in der Frankiermaschine und gleichzeitig 
parallel dazu in der Datenzentrale nach den gleichen 
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Methoden aufgrund der obermittelten Registerdaten. 

Die Frankiermaschine kann der Datenzentraie 
Registerwerte vor einer Guthabennachladung ubermit- 
teln: 

R1 (descending register) vorrStige Restbetrag in 

der Frankiermaschine. ^^^nKotran 
R2 (ascending register) Verbrauchssummenbetrag 
in der Frankiermaschine. 

B3 (total resetting) die bisherige Gesamtvorgabe- 
summeallerFernwertvorgaben. ._„hi 
R4 (piece count ^printing with value =/=0) Anzahi 

fs^^'lT^e count Iprinting wrth value -O) 
Anzahi aller Drucke daraus folgt: 



R3 = R2 + Rl 



(1) 



Bei ieder Fernwertvorgabe laBt sich Rl abfragen 
undStiSih auswerten. Wird R1 ^"^-^^^'^^^Z 
kann der gleiche Nachladebetrag .n .mmer grSBeren 
Sladeirioden nachgeladen warden bzw. d.e 
StSiah. wird Weiner angesetzt. welch e b.s zur n.ch- 
sten Kommunikation franWert werden ^3^; 

Anhand der franklermaschinenspezifischen Daten 
ISBtS ein Franldermaschinen.Pro1il erst^len^ D.eses 
ft^Wermaschinen-Profil gibtdaruber Auskunft. ob e n 
Sie mil den durchgefuhrten Nachlad^org&ngen .n 
dTige war. die ermittelte Anzahi an Franlcerungen 
2uctSu^hren. Es sind innerhalb des Susp.aous Mode 
zwei Stufen zu unterscheiden: 

1 Frankiermaschine istverdachtigund 
2. Rankiermaschine muB manipuliert worden sem. 



in regelmaSigen AbstSnden wird i" der Datenz«i^ 
trale eine Plausibilltatskontrolle ^"^^^^"^ 
hefindlicher Frankiermaschinen durchgefuhrt Bei die 
sem^SSri. werden die Maschinen sekennze-chnet 
u^der PostbehOrde gemeldet. deren Franl^erverhal- 
ve^achtig erscheinen Oder manipui.ert wo Jen 
2^Tn der Frankiermaschine istggl noch erne andere 
S^eiimaBnahme (Error <>ert.aw Mod^ -rg je^ 
hen. Diese kann im zweiten Modus neben oder anstatt 
ri!r Sleeoina-Mode-Variante 1 oder Sleeping-Mode- 

t::ireTUge.~ 

rgTnrv^rs«tzfhi rFehlern, ver.ang- 
S s 0^ d^^Reaktionszeitdauerder Fran»dem.asch,r^^^ 
^ ScS 203. wobei Ober die Anzeige gleichzertig d.e- 
s^r zSand an den Bediener der Frank>ermasch.ne 
Z^r^r6. in den weiteren Schritten |^nn ah^K^ 

Jerfahren warden, wie in Z"^'^"^^;'^"^"^: 
ren 2 und 5 bereits erlSutert wurde. Die F«"'««^'^ 
schine speichert sowohl interne als auch 
iSungSehler und Manipulatonsversuche .n e.^m 
pS Segteter zu protokollarischen Z^ecken besp^ls- 
wSe bis zu der Zahl 999. W.rd der Z^tand der^Jbe^- 
schreitung der Fehleranzahl n.cht besemgt, 



beispielsweise im Rahmen einer Inspektion durch e-nen 
Sedienst oder durch ROcksetzen w^hrend einer 
Kommunikation mit der Datenzentraie, kann d.e ReaH*- 
oSauer werter erh6ht werden. um ev^^^^^^ 
K;ionin.iiationen zu erschweren. Die Fehlerzani wira 

' dr^lTer dh wteder bis zu einer vorbes^mmten 
Zahl beispielsweiseimSchrittaiSprotokolliert. 

in einer ersten Variante istvorgesehen. die Rea^ 
ons^eitdauer. beispielsweise die ^^^^^^^J^l^Z 

in Beainn des Druckbetriebes. linear mit der Anzahi der 
FeSler zu erhOhen. Die AustOhrung des Programm^ 

Srd dadurch weder modifiziert "O^^' .llche un^i- 
dern nur verzOgert. Insbesondere werden sdche unk^^ 
tischen Programmteile. welche nicht durch Time 
„ supe^lion (Kill Mode 1) oder Flow control uberwacM 
werden mehrfach aulgerufen. wie ^^-P^^'^^'^^^^^^^^ 
Fehleranzeige. Damit bleibt die Wirkung des Program- 
mes im wesentlichen unverandert. 
"' in einer zweften Variante wird die BeaW,on«ert- 
,0 dauer jeweils urn eine Stufe erhOht. wobe. die SUrfen 
Sekunden. Minuten, Stunden. Tage. ... u^. betreffen 

■^""in Abanderung bzw. in Kombination mit vorgenann- 
ten Jahanten kann eine Erh6hung der Reaktionsz-t^ 
drurauRerdem bei jeder Fehlbedienung vorgesehen 
J^rden Hierzu wird in einer Ausfuhrungstorm en dek^ 
SShes ZeitschloB betatigt. Vorzugsweise wird eine 
ZSssTve Steigerung der Reaktionszeitdauer im 
BeSrogramm vorgesehen. um eine Manipulation 

" ^" t:t;":;gesehen. daB der Schr« 213 teilweise 
Oder ganz in Verbindung mrt anderen Schrrtten ^^Sub^ 
schritt aufgerufen wird. Beispielsweise isl d^r StaJ Jik 
SFehle?modus Bestandtei. des Schrittes 203^ de^ 
« Abrechnungs- und Druckroutine gemSB des Schrittes 
JS^t Frankiermodus 400. welcher in den Figuren 3 
Z 5 naher dargestellt ist. Tritt ein ^^^^^^^X- 
nungsfehler auf wird die Maschine im Schntt -W6 blok 
Jert Tritt ein Fehler aber wShrend der 
« Sisielll^gsphase im Schritt ^0^ auf^ bleiW d. 
Maschine unter Anzeige eines bestimmten Fehlercodes 

'''Tndererserts gibt es schwere ^ehlen we.*e erst 
aniaUlich der ndchsten Inspektion vor Ort von e^ner 
daLu berechtigten Person autgehoben werden^^^^^^^^ 
Ein solcher Fehler. beispielsweise wenn der ^'^^^^^ 
nicht auf den Arbeitsspeicher ^-^^^^^^l^";,^^^::, 
Dateninhalt des RAM's weder 'f ^^L" 
kann. wird beispielsweise durch Stecken 

^grnrwer^:n.rRyET-EPROMen^^.^^^^ 
derlichen Daten. beispielsweise den e"^pr«J^e^J^^ 
Schlussel. und spezielle Programme zur W^^^^^^^ 
luna der Frankiermaschinenfunkbon. Beispielsweise 
" Sn ein scches Programm eine eH^gte Redundar.; 
verringerung wieder ruckgangig machen. Die Prototol 
Tung der Fehler. welche wahrend d^ Betneb^ der 
Rantaermaschine im Statistik- und Fehlerauswertungs- 
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modus (Schritt 213) getrennt nach Fehlerarten erfolgt, 
wird dabei von der berechtigten Person daraufhin uber- 
prOft, ob ein Manipulationsversuch unlernommen wor- 
den ist. 

Die Erfindung ist nicht aut die vorliegenden Ausfuh- s 
rungsformen beschrankt. Vielmehr ist eine Anzahl von 
Varianten denkbar. welche von der dargesteliten 
L6sung auch bei grundsStzlich anders gearteten Aus- 
fuhrungen Gebrauch machen. 

10 

PsDtentanspruche 

1. Verfahren zur Absicherung von Daten und Pro- 
gramnx;ode einer elektronischen Frankiermaschine 
mit einem Mikroprozessor In einer Steuereinrich- is 
tung der Frankiermaschine zur Ausfuhrung von 
Schritten fur eine Start- und Initialisierungsroutine 
und nachfolgender Systemroutine mit einer M6g- 
lichkeit in einen Kommunikationsmodus mit einer 
entfernten Datenzentrale einzutreten sowie weite- 20 
ten Eingabeschritten, um in einen Frankiermodus 
einzutreten von dem nach Ausfuhrung einer 
Abrechnungs- und Druckroutine in die Systemrou- 
tine zuruckverzweigt wird, wobei in den Schritten 
fur die Start- und Initialisierungsroutine ein Obertra- 25 
gen eines extern gespeicherten vorbestimmten 
MAC-Wertes und ausgewahlter Daten eines zu 
prufenden Speicherinhaltes in einen Speicher der 
Frankiermaschine. ein Bilden einer MAC-Prut- 
summe im OTP-Prozessor uber den Inhalt desjeni- 30 
gen externen Speichers, welchem der MAC 
zugeordnet ist, eine Uberprufung auf Gultigkeit der 
Daten mittels eines ausgewahlten Prufsummenver- 
fahrens innerhalb eines Prozessors durchgefuhrt 
wird. um bei Gultigkeit ein Frankieren zu eriauben. 35 
gekennzeichnet durch 

a) Ubertragen eines extern gespeicherten vor- 
bestimmten MAC-Wertes und ausgewahlter 
Daten und Programmcode eines zu prufenden 40 
Speicherinhaltes In den internen OTP-RAM zur 
flOchtigen Speicherung und ein BiWen einer 
MAC-Prufsumme im OTP-Prozessor uber den 
Inhalt desjenigen externen Speichers. wel- 
chem der MAC zugeordnet ist, fur eine Startsi- 45 
cherheitSLiberprufung (1020) im Rahmen der 
Start- und Initialisierungsroutine (101), welche 
ablSuft vor einer sicheren Druckdatenaufruf- 
routine (1040) und der nachfolgenden System- 
routine (200). zur Feststellung der Gultigkeit so 
eines gCiltigen Programm-Code und von gulti- 
gen Daten im voibestimmten Spetcherplatz, 
wobei ein zugehOriger MAC (MESSAGE 
AUTHENTIFICATION CODE) im selben Spei- 
chermittel gespeichert vorliegt und wobei die 55 
Uberprufung auf gultigen Programm-Code und 
auf Gultigkeit der Daten mittels eines ausge- 
wahlten Prufsummenverfahrens innerhalb 
eines OTP- Prozessors (ONE TIME PRO- 



GRAMMABLE) durchgefuhrt wird, der intern 
die entsprechenden Programmteile. einen Ver- 
schlusselungs-Algorithmus und einem zugehO- 
rigen Schlussel enthait und 

b) Uberfuhrung der Frankiermaschine in die 
vorgenannte Systemroutine (200) und Ubertra- 
gen eines extern gespeicherten vorbestimmten 
MAC-Wertes und ausgewShlter Daten und 
Programmcode eines zu prufenden Speicher- 
inhaltes in den internen OTP-RAM zur flOchti- 
gen Speicherung und ein Bilden einer MAC- 
Prufsumme im OTP-Prozessor uber den Inhalt 
desjenigen externen Speichers. welchem der 
MAC zugeordnet ist, fOr eine kontinuierliche 
Uberprufung in jedem Durchlauf der Betriebs- 
programmschleife, wobei vorschreitend tiber 
jeweils eine grdBere Anzahl von Programm- 
speicherzellen mittels eines kryptographischen 
Prufsummenverfahrens ein relevanter MAC 
gebildet und mit dem jeweiligen gespeicherten, 
zum Zeitpunkt T1 gebildeten MAC verglichen 
werden kann, 

c) Ablaufen von Programmen, wobei alle 
wesentlichen ProgrammablSufe in das Innere 
des OTP-Prozessors verlegt ablaufen. wobei 
ein Uberfuhrung der Frankiermaschine in einen 
ersten Modus, wenn mindestens ein uberpruf- 
tes Programm ungultig ist bzw. ein spezif isches 
Manipulationskriterium erfullt ist, durch Schritte 
zum Verhindern des Frankierens bzw. Sper- 
rens der Frankiermaschine und/oder Schritte 
zum Verhindern einer weiteren Programmaus- 
fuhrung bzw. einer vom OTP-Prozessor nach 
extern fuhrerxien Programmverzweigung im 
Rahmen vorgenannter Systemroutine (200), 
und 

d) Wiederholung der Prufung der Frankierma- 
schine auf Vorliegen einer Manipulation im 
Rahmen vorgenannter Systemroutine (200). 

2. Verfahren, nach Anspruch 1, dadurch gekenn- 
zeichnet, da3 als ein speztfisches Manipulations- 
kriterium das Intervall zwischen den 
Prufsummenvergleichen mit einer zeitlichen Uber- 
wachung verknupft wird. so daB ein Anhalten des 
Programms erkannt wird. 

3. Verfahren nach den Anspruchen 1 bis 2, dadurch 
gekennzeichnet. da 6 die Frankiermaschine nach 
Zeitablauf ohne Frankierausl6sung und/oder nach 
einer Anzahl von Programmschleifen-DurchlSufen 
ohne Eingabe im Standby-Modus betrieben wird. 
wobei im Standby-Modus Sicherheitsuberprufun- 
gen sicherheitsrelevanter Daten und Programme 
durchgefuhrt werden und im Fehlerfall eine Proto- 
kollierung und anschlieBende Blockierung der 
Frankiermaschine erfolgt. 

4. Verfahren nach einem der vorgenannten Anspru- 
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Che 1 bis 3. dadurch gekennze.chnet. daB e.ne 
AuthentizitatsprOfung von mindestens den wesenV 
lichsten Teilen des Programmcodes und den 
Lesenlichsten Daten in Speicherbereichen e.nes 
See EPROM oder eines anderen extemen s 
EPROMs durchgefuhrt wird. 

5 Verfahren, nach Anspruch l. dadurch gekenn- 
zeS.net. daB nach einer Gultigke.tsprufung d,e 

RSmaschine in einen zweiten Modus uber^ io 
fflhrt Wird. wenn ein spezifisches Kritenum erfum 
St wobei die Schritte (201 bis 206). d.e nach dem 
SgTn^unkt s der Systemrouttne (200) und vor 
dem PunW t ablaufen. umfassend: 



. einen Schritl (201) zum Aufruf aktueller DJen 
. einen Schritt (202) zur Uberprufung der Daten 
mittels eines Entscheidungskriteriums und E.n- 
Uitt bei Erfullung des Kriteriums .n den zwerten 
Modus (Schritte 203-206). um an den Benuteer 20 
der FranWermaschine eine Warnung ond Auf- 
forderung zur Kommunikation mit der Daten- 
zentrale abzugeben sowie 9«f "-^'^^^^^^^^ 
durch eine Durchfuhrung von Authentztets 
profungen in mindestens e'^^m werteren 25 
Modus' wobei zur Bildung des MAC em .m 
internen OTP-ROM sicher gespeicherter DES 
Algorithmus zur Verschlusselung ve^erKlet 
wird und daB zugeh6rige Schlussel .m .nlernen 
OTP-ROM Sicher gespeichert vorliegen, wobe, so 
ein Schiossel tOr die Absicherung Jpe'- 
cherinhalte oder eine Anzahl versch-^ener 
Schlussel fur die Absicherung der unterschied- 
lichen Speicherinhalte verwendet wird. 

6 Verfahren nach Anspruch 5. dadurch gekcnn- 
zetehnet daB der zweite Modus (Sleeping-Mode) 

Jne 5?mung vor der b^^o^^^^'^^t'^o'nTde'r 
ihen Du«:hfOhrung einer Kommun.to^on m.tde^^ 

Datenzentrale umfaBt und daB ^^^^^ 
prufung von RegistenA^erten aus de" Spe.*e*e 
Veichen eines nichtflOchtigen Speichers (NVRAM. 
EE?ROI^ bei der StartsicherheitsOberprufung 
(1020) und im Frankiermodus durchgefOhrt w.rd. 

7 Verfahren nach Anspruch 6. dadurch gekenn- 
zeiXet daB fur die Kommunikation m.t e>ner 
Datenzentrale ein geheimer erster ScNO^el e^ge^ 
setzt wird der im nichtflOchtigen Speicher extern 
tS^' OTP-Prozessor in verschlusselter Form so 
r^ichert vorliegt. der mittels eines .ntemen 
SrihlOssels innerhalb des OTP-Prozessors 
!S.iaLlt wird. daB der verschlusselte erste 
SSS^^VerbindungmitdemDES^^^^^^^ 
und dem vorgenannten zwerten Schlussel errt 
schiossett wird. welche im mternen OTP-ROM 
Sef^espeichert vorliegen. daB der entsdjlus- 
seH? erste Schiosse. in Vert>ndung m.t dem DES- 
Sgorrthmus zur Sicherung der Kommun.katon der 



Frankiermaschine mit der Datenzentrale eingesetzt 
wird. 

8 verfahren nach Anspruch 7. sekennzetohnet 
dadurch. daB wahrend der Kommun.kat.on Trans- 
aktionen mit verschlOsselten Meldungen durchge- 
rSrt werden. um ein Guthaben und/oder wertere 
aktuelle Daten in die Frankiermaschne zu laden 
Se dafi die Transaktionsdaten einzeln und senell 
Sertragen und durch einen MESSAGE AUTHEN- 
SfTcaTION code (MAC) gesichert werden. 
rSe MAC-Bildung intern im OTP-Prozessor 

erfolgt. 

,5 9 verfahren. nach Anspruch 8. dadurch gekenn- 
z^hnet. da(3 eine wahrend der KDmmun.kat,on 

S verschlusselten Meldungen durchgefuhrte 

TransaWion einen Vorgabewert e.nen Gurtha- 

bennachladewert umfaBt. welcher der entfernten 

Datenzentrale ubermittelt wird. 



10 verfahren. nach Anspruch 8. dadurch gekenn- 
zeSinet daB eine wahrend der Komrnu™l|aton 
mit verschlOsselten Meldungen durch9e<"hrte 
Transaktion eine spezifische StOctaahl S' fur den 
Sleeping-Mode umfafit. 

11 verfahren nach einem der vorgenannten An^rO- 
Se 1 bis 10. dadurch gekennzeichnet. daB irn 
B^ilbsmodus (290) ein Schritt (214) fur e.ne 
Umschaltung in einen Anzeigemodus ^5) zu 
Anzeige von Registenwerten zum Zwecte Ihrer 
Sotung vorgesehen ist, wobei zu Kon^roH- 
zwecken wahlweise Registen«/erte m.t dem fran 
Sl^schinen-internen Drucker ausgedruckt 
werden k5nnen. 

12. verfahren nach einem der ^^^^^^ 
Che 1 bis 1 1 . dadurch gekennzeichnet. daB aHe 
wesentlichen ProgrammaWaufe das Inn^e d^ 
OTP-Prozessors verlegt ablaufen und daB die Fran 
Wermaschine auf Vorliegen einer Manipulation w.e- 
derholt geprOft wird. 

13 Verfahren zur Absicherung von Daten und Pro- 
gSmmcode einer eleklronischen FranWermasch.ne 
gien Manipulation mH einem Mikroprozessor .n 
l?er Steuereinheit der Rankiermasch.ne zur Aus- 
mZn^Zo Schrrtten fOr eine Start- und Inrtiahs^- 
mngsroutineund nachfolgender Systemroutine m.t 
Sr Mbglichkeit in einen Kommunikationsmodus 
r einJ entfernten Datenzentrale emzutreten 
^wie weiteren Eingabeschritten. um in e.nen Fran- 
S^ldus einzutreten von dem nach Ausfuhrung 
Sner Abrechnungs- und Druckroutine in die 
Systemroutine zuruckverzweigt wird. 
gekennzeichnet durch 

a) eine StartsicherheitsOberprufung (1020) im 
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Rahmen einer Start- und Initialisierungsroutine 
(101). welche ablSuft vor einer sicheren Druck- 
datenaufruf routine (1040) und der nachfolgen- 
den Systemroutine (200). zur Feststellung der 
Gultigkelt eines Programm-Ckxies und/oder 5 
von Daten im vorbestimmten Speicherplatz 
und eines zugehOrigen MAC (MESSAGE 
AUTHENTIFICATION CODE), welche im sel- 
ben Speichermittel gespeichert vorliegen. 
wobei die UberprOfung auf gultigen Programm- w 
Code und/oder auf gultige Daten mittels eines 
ausgewahlten Prufsummenverfahrens inner- 
halb eines OTP-Prozessors (ONE TIME PRO- 
GRAMMABLE) durchgefuhrt wird, der intern 
die entsprechenden Programmteile enthalt und 75 

b) Uberfiihrung der Frankiermaschine in die 
vorgenannte Systemroutine (200) bei Gultig- 
keit der Daten oder Uberfuhrung der Frankier- 
maschine in einen ersten Modus, wenn die 
Daten unguftig sind bzw. ein spezif isches Mani- 20 
pulationskrilerium erfullt ist, durch Schritte zum 
Verhindern des Frankierens bzw. Sperrens der 
Frankiermaschine (1030) und/oder Schritte 
zum Verhindern einer weiteren Programmaus- 
fuhrung bzw. einer vom OTP-Prozessor nach 25 
extern fuhrenden Programmverzweigung im 
Rahmen vorgenannter Systemroutine (200). 

c) Durchfuhrung von AuthentizitStsprufungen 
im.Ergebnis der Druckdateneingabe in der 
Druckdatenaufruf routine (1040) fur Rahmen 30 
und/oder Fensterdaten wahrend der Start- und 
Initialisierungsroutine (101) und im Schritt 
(209) fur sicherheitsrelevante Fensterdaten. 
welche bei der Druckdateneingabe geSndert 
wurden, wobei bei fehlender AuthentizitSt 35 
Schritte zum Verhindern einer weiteren Pro- 
grammausfuhrung bzw. einer vom OTP-Pro- 
zessor nach extern fuhrenden 
Programmverzweigung im Rahmen vorge- 
nannter Systemroutine (200) und wobei bei 40 
bestehender Authentizitat Schritte zur weiteren 
Prog rammausfOh rung im Rahmen vorgenann- 
ter Systemroutine (200) durchgefuhrt werden. 

14. Verfahren zur Absicherung von Daten und Pro- 45 
grammcode einer elektronischen Frankiermaschine 
gegen Manipulation mit einem Mikroprozessor in 
einer Steuereinheit der Frankiermaschine zur Aus- 
fuhrung von Schritten fur eine Start- und Initialisie- 
rungsroutine und nachfolgender Systemroutine mit so 
einer M6glichkeit in einen Kommunikationsmodus 
mit einer errtfernten Datenzentrale einzutreten 
sowie weiteren Eingabeschritten, um in einen Fran- 
kiermodus einzutreten von dem nach Ausfuhrung 
einer Abrechnungs- und Druckroutine in die 55 
Systemroutine zuruckverzweigt wird, 
gekennzeichnet durch 

a) eine Startsicherheitsuberprufung (1020) im 



Rahmen einer Start- und Initialisierungsroutine 
(101), welche abiauft vor einer sicheren Druck- 
datenaufrufroutine (1040) und der nachfolgen- 
den Systemroutine (200). zur Feststellung der 
Gultigkeit eines Programm-Codes und/oder 
von Daten im vorbestimmten Speicherplatz, 

b) Uberfuhrung der Frankiermaschine in die 
vorgenannte Systemroutine (200) bei Gultig- 
keit der Daten oder Oberfuhrung der Frankier- 
maschine in einen ersten Modus, wenn die 
Daten ungultig sind bzw. ein spezifisches Mani- 
pulationskriterium erfullt Ist. 

c) kontinuierliche Programmuberwachung 
Innerhalb der Systemroutine (200) und Uber- 
fuhrung der Frankiermaschine in den ersten 
Modus, wenn die Daten ungultig sind bzw. ein 
spezifisches Manipulationskrtterium erfullt ist, 
wobei uber jeden der Subbl6cke SB eines 
Blocks B eine Prufsumme oder MAC inkremen- 
tell berecfinet wird, wobei eine kumulierte Pruf- 
summe bzw. MAC gebildet und ein Vergfeich 
mit einem fruher gespeicherten Wert fur vorge- 
nannte Prufsumme bzw. MAC vorgenommen 
wird, um die Authentizitat der Programmteile 
voranschreitend festzustellen. 

15. Verfahren, nach Anspruch 14, gekennzeichnet 
durch die Schritte: 

Aufrufen der Codeworter des jeweiligen Sub- 
blocks SB des aktuellen Blocks B im Schritt 
(210-1), um daruber insgesanrrt eine Pruf- 
summe Oder mittels DES-Verschlussellung 
einen MAC zu bilden, wobei die Prufsummen- 
bzw. die MAC-Berechnung fur einen ganzen 
Block unterbrochen und im nachsten Durchlauf 
weitergefuhrt wird und wobei die Prufsumme 
bei jedem Durchlauf kumuliert und dann gege- 
benenfalls wieder der inkrementell MAC gebil- 
det wird, 

Vorsehen eines Schrittes (210-2) zum Inkre- 
mentieren des Subblockzahlers, um fortschrei- 
tend im nSchsten Durchlauf wieder im Schritt 
(210-1) kumulieren zu kOnnen und um dann 
den jeweiligen inkrementellen MAC zu bilden, 
wobei nach dem Schritt (210-2) zum Inkremen- 
tieren des Subblockzahlers uber einen Pruf- 
schritt (210-3) zum Punkt e der Systemroutine 
verzweigt wird. wenn der maximal e Subblock- 
zShlerstand SBZmax noch nicht erreicht ist, 
Oder wobei, wenn Endstand bei der Prufsum- 
menbildung bzw. bei der MAC-Bildung erreicht 
ist. nach dem Prufschritt (210-3) in einem wei- 
terem Schritt (210-4) die vorgenannte kumu- 
lierte Prufsumme bzw. der MAC mit einem 
zugehOrig gespeicherten Wert verglichen wird, 
wobei im nachfolgenden Prijfschritt (210-5) 
festgestellt wird. ob eine Identitat oder ein Feh- 
ler vorliegt, 
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Verzweigen im Fehletfall. wobei Flag gesetzl, 
iSe?in einem Schritt (409) des FranK.ermo- 
dus (4O0) ausgewertet wird. oder 
AbschluB der Autentifizierung und Durchfuh- 
'X Zs Schrittes (210-6) -ur BlocR.nl.e- 5 
mentation und eines Schrittes (210-7) ^ur 
Kcksetzung des Sut^lockz^hlerstande (SBZ 
- 0) und der Prufsumme auf den Wert Nun, 

Pr^ln im Schr« i^^O-B). ^J^eB^l^":^ . 
attieitetet wurden. urn den BlocKzanier ini 
S (2i0-9) wieder auf den ersten Block zu 
Swen (BZ := 0) und Verzweigung auf den 
PU?W e zur werteren Abarbatung der System- 
routine. i5 
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(57) Die Erfindung betrifft ein Verfahren zur Absi- 
cherung von Daten und Programmcode einer elektroni- 
schen Franklermaschine gegen Manipulation mit einem 
Mikroprozessor in einer Steuereinheit der Franklerma- 
schine zur Ausfuhrung von Schritten fur eine Start- und 
Initialisierungsroutine und nachfolgender Systemrou- 
tine mit einer Moglichkeit in einen Kommunikationsmo- 
dus mit einer entferrrten Datenzentrale einzutreten 
sowie weiteren Eingabeschritten. um in einen Frankier- 
modus einzutreten von dem nach Ausfuhrung einer 
Abrechnungs- und Druckroutine in die Systemroutine 
zuruckverzweigt wird, umfassend 

a) eine Startsicherheitsuberprufung (1020) im Rah- 
men einer Start- und Initialisierungsroutine (101) 
vor einer sicheren Druckdatenaufruf routine (1040) 
und der nachfolgenden Systemroutine (200) zur 
Feststellung der Gultigkeit eines Programm-Codes 
und/oder von Daten im vorbestimmten Speicher- 
platz und eines zugehdrigen MAC (MESSAGE 
AUTHENTIFICATION CODE), welche im selben 
Speichermittel gespeichert vorliegen. wobei die 
Uberprufung auf gultigen Programm-Code 
und/oder auf Gultigkeit der Daten mittels eines aus- 
gewahlten Prufsummenverfahrens innerhalb eines 
OTP-Prozessors (ONE TIME PROGRAMMABLE) 
durchgefuhrt wird. der intern die entsprechenden 
Programmteile enthait und 

b) eine Uberfuhrung der Franklermaschine in die 
vorgenannte Systemroutine (200) bei Gultigkell der 
Daten oder Uberfuhrung der Franklermaschine in 
einen ersten Modus, wenn die Daten ungultig sind 



bzw. ein spezifisches Manipulationskriterium erfullt 
ist, durch Schritte zum VerNndern des Frankierens 
bzw. Sperrens der Franklermaschine (1030) 
und/oder Schritte zum Verhindern einer weiteren 
Program mausfuhrung bzw. einer vom OTP-Prozes- 
sor nach extern fuhrenden Programmverzweigung 
im Rahmen vorgenannter Systemroutine (200). 



Start- und Inrtislisieninssroutina 101 



I timf & initmipt stmrt 



_Lion 



Surtsicherha'tiuberprafung 1020 
<- |lnfm«RAM.Prafung V '^O^^ 



1030 



Bratonaprijfung ^ -1Q?? 



"1-1023 



4 ^ MAC-Prutung fOr EPWOM im mxt. Soctd ifig^jj} . lOTS 
4- 1 MAC-Pfufung d e» Programm-EPBOM tRg .7 1 ^ -1 0 26 
♦ 4 MAC-Prtitm>fl df Pogtregiw tFio.Til|} *l027 



4-j MAC-PfOfwg d 



0*4 1028 



^ Pnifung d. Ubef einsiimmung d. NVRAU/EEPROM- ^^29 
Oatsn & ggf . Bbhingtge Korrektur 



FranUv-und KJbchsifaildvararbeining. automituchs Routina , 1040 
fpr fna. »en#vmriable and vartable DruckdatweitOBnunB 



Sytamreutina (Sprung in mn axtcmss Program I "j ^ 



Printed by Xerox (UK) Business Services 
2 16.7a6 



BNSDOCID: <EP .076233eA3J_> 



eP0 7e2 338 A3 



JSN Europaisches eurqPAISCHER RECHERCHENBERICHT 
Gff} Patentamt 



Nummerdor Anmcldung 

EP 96 2B 0192 



Kategorie 
Y 
A 

Y 

A 



— A^a^e, soweiter1orde..ch, 
_jeMna(^ ■ 




Pocharchenort 

DEN HAAG 




rp 0 281 225 A (HEWLETT PACKARD CO) 
'•4TIX 't?3. Spane 6 .6-10.12 

: line 6. 'sSa^te 19 - Spalte 58 * \ 
: Anspruch; 1-3,7; Abbildung 6 * 
DE 43 44 476 A (FRANCOTYP POSTALIA GMBH) 

* Anspruche 1-3.7.10_*_ 
DE 41 29 302 A (LEHBENS HELMUT) 

: Ifrlcle n% Abbildung 1 * 

US 4 726 025 A (SPLETT CATHERINE A 
16 Februar 1988 (1988-02-16) 
* Anspruche 1-4 
PATENT MSTIIKTS OF JAPAN 

♦ Zusammenfassung * 



■;^0R1E DER GENANNTENDOKUMEMTE 



A technologischflr Hintargrund 
O hWitachftflliche OttenDarung 
p Zwischeniteratur 



IIUCI A-'--- I 

°3HSrt^S3".^sr.^ 

Dokumert ^ 



2 



BNSDOCID <EP- 



_0762338A3_L> 



EP 0 762 338 A3 



ANHANG ZUM EUROPAISCHEN RECHERCHENBERICHT 

USER DIE EUROPAISCHE PATENTANMELDUNG NR. EP 96 25 0192 



In diesem Anhaog sind die Mitglieder der Patentfamilien der im obengenannten europSischen Recherche nbericht angetuhrten 
Patentdokumente angegeben. 

Die Angaben uber die Familienmitglieder entsprechen dem Stand der Datei des Europ&schen Patentamts am 
Diese Angaben dienen nur zur Unterrichtung und erfolgen ohne GewShr. 

03-12-1999 



Im Recherchenbertcht 
angettihrtes Patentdokument 


Datum der 
Verdftentiichung 


Mitglied(er) der 
Patentfamtlie 


Oatum der 
Verdffentlichung 


EP 0281225 A 


07-09-1988 


DE 


3889561 


D 


23-06-1994 






DE 


3889561 


T 


01-09-1994 






JP 


2675806 


B 


12-11-1997 






JP 


63225840 


A 


20-09-1988 






US 


4933969 


A 


12-06-1990 



DE 


4344476 


A 


22-06-1995 


EP 


0660269 


A 


28-06-1995 










US 


5671145 


A 


23-09-1997 










US 


5805711 


A 


08-09-1998 


DE 


4129302 


A 


04-03-1993 


WO 


9305482 


A 


18-03-1993 










EP 


0604464 


A 


06-07-1994 


US 


4726025 


A 


16-02-1988 


US 


RE33461 


E 


27-11-1990 


JP 


63196936 


A 


15-08-1988 


KEINE 









2 

UJ 

Fur nAhere Einzelheiten 2u diesem Anhang : siehe Amtsblatt des Europ^schen Patentamts. Nr. 12/82 



3 



BNSDOCID: <EP 076233BA3_L> 



Method for securing data and progam code of an electronic franking machine 



Patent number: 
Publication date: 
Inventor: 
Applicant: 

Classification: 

- international: 

- european: 
Application number: 
Priority number(s): 



EP0762338 
1997-03-12 

BERTHOLD ARNDT (DE); ZARGES OLAV A (DE) 
FRANCOTYP POSTALIA AG (DE) 

G07B17/04 
G07B17/00G 

EP 19960250192 19960906 
DEI 9951034530 19950908 



Also published as: 

W EP0762338 (A3; 
% DEI 9534530 (A 



Cited documents: 

g EP0281225 

m DE4344476 

g DE41 29302 

m US4726025 

m JP631 96936 



Report a data error he 
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A summation is used for a starting check (1 020) 
in the frame of the starting and initialisation 
routine (101) that runs before the printed date 
routine (1040) and the following system routine 
(200) for validating the programme code and 
certain data. The appropriate MAC is entered and 
the above routine is performed using a 
summation testing method from the OTP 
processor, with its algorithm and key. The 
franking machine is run in the same routine (200) 
of a similar validation is made, and the process is 
repeated for various manipulation or handling 
modes. 
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